Malware Tardígrade usado em ataques contra fabricantes de vacinas
Em um recente comunicado formal a todos os bio-fabricantes, o Centro de Análise e Compartilhamento de Informações de Bioeconomia (BIO-ISAC) informou sobre os ataques realizados durante 2021 que tinham como alvo a "infraestrutura de fabricação de vacinas".
Os ataques são atribuídos a um ator de ameaça persistente avançado ou APT. De acordo com o BIO-ISAC, o malware usado nos ataques contra entidades fabricantes de vacinas era particularmente avançado. A ameaça foi apelidada de "Tardígrado", em homenagem aos pequenos animais espetacularmente resistentes.
A investigação dos ataques mostrou que o malware Tardigrade tem recursos surpreendentes, incluindo a capacidade de se adaptar a um ambiente em mudança, ocultar bem seus rastros e, o mais importante, operar por conta própria, sem receber nenhuma entrada de seus servidores de comando e controle.
Quando o primeiro ataque estava sendo monitorado em abril de 2021, os pesquisadores descobriram que era direcionado a uma "grande instalação de biofabricação" não identificada. O mesmo malware foi usado posteriormente em um segundo ataque contra uma entidade de biotecnologia em outubro.
Este não é o primeiro incidente cibernético relacionado de alguma forma à produção da vacina Covid-19 e ao esforço para conter a pandemia em geral. Ao relatar os incidentes e a assessoria do BIO-ISAC, o Threatpost destacou o recente ataque cibernético contra a empresa indiana que produz a vacina russa Sputnik, como apenas um exemplo.
O malware Tardigrade compartilha alguns recursos e comportamentos comuns com o backdoor SmokeLoader, mas é muito mais autônomo e capaz de movimento lateral sem entrada manual proveniente dos servidores de comando e controle, o que é realmente impressionante.
Mesmo que se pensasse que o Tardigrade era Cobalt Strike com uma nova camada de tinta, várias fontes confirmaram que o malware era de fato uma fera diferente, tendo mais em comum com SmokeLoader do que Cobalt Strike.
Todas as empresas que trabalham com biotecnologia e, especialmente, com produtos e vacinas relacionados à Covid-19 devem "presumir que são alvos", de acordo com o comunicado divulgado pela BIO-ISAC.