Logiciel malveillant Tardigrade utilisé dans les attaques contre les fabricants de vaccins
Dans un récent avis formel à tous les biofabricants, le Centre de partage et d'analyse des informations sur la bioéconomie (BIO-ISAC) a informé des attaques menées en 2021 qui ciblaient « l'infrastructure de fabrication de vaccins ».
Les attaques sont attribuées à un acteur de menace persistant avancé ou APT. Selon BIO-ISAC, le malware utilisé dans les attaques contre les entités de fabrication de vaccins était particulièrement avancé. La menace a été surnommée "Tardigrade", d'après les minuscules animaux à la résilience spectaculaire.
L'enquête sur les attaques a montré que le malware Tardigrade possède des capacités surprenantes, notamment la capacité de s'adapter à un environnement changeant, de bien masquer ses traces et, surtout, de fonctionner seul, sans recevoir aucune entrée de ses serveurs de commande et de contrôle.
Lorsque la première attaque a été surveillée en avril 2021, les chercheurs ont découvert qu'elle visait une « grande installation de bioproduction » sans nom. Le même malware a ensuite été utilisé dans une deuxième attaque contre une entité biotechnologique en octobre.
Ce n'est pas le premier cyberincident lié d'une manière ou d'une autre à la production de vaccins contre le Covid-19 et aux efforts déployés pour freiner la pandémie en général. En rapportant les incidents et l'avis BIO-ISAC, Threatpost a souligné la récente cyber-attaque contre la société indienne produisant le vaccin Sputnik de la Russie, comme un exemple.
Le malware Tardigrade partage certaines fonctionnalités et comportements communs avec la porte dérobée SmokeLoader mais est beaucoup plus autonome et capable de mouvement latéral sans entrée manuelle provenant des serveurs de commande et de contrôle, ce qui est en effet impressionnant.
Même si l'on pensait que Tardigrade était Cobalt Strike dans une nouvelle couche de peinture, plusieurs sources ont confirmé que le malware était en effet une bête différente, ayant plus en commun avec SmokeLoader que Cobalt Strike.
Chaque entreprise travaillant dans la biotechnologie et travaillant en particulier sur les produits et vaccins liés au Covid-19 devrait « supposer qu'ils sont des cibles », selon l'avis publié par BIO-ISAC.