L'équipe de recherche d'IBM a découvert une campagne de phishing complexe qui vise des organisations de la chaîne du froid, qui joueront un rôle essentiel dans le transport et le stockage de vaccins.

Les hackers ciblent depuis des mois les laboratoires de recherche sur les vaccins contre le Covid-19. Mais depuis septembre, ils sont passés à la vitesse supérieure. Selon un rapport de IBM Security X-Force, ils visent désormais les organisations de la chaîne du froid, qui vont jouer un rôle essentiel dans le transport et le stockage des doses de vaccins.

Celui de Pfizer, un des premiers annoncés, a par exemple besoin d’être stocké à -70° degrés Celsius. Celui de Moderna doit quant à lui être conservé à -20°C. Leur transport va nécessiter un protocole particulier, et si la chaîne du froid venait à être brisée, c’est l’efficacité du vaccin qui serait remise en cause.

Des hackers ont envoyé des phishings personnalisés à plusieurs organisations impliquées dans la chaîne de conservation des vaccins. // Source : Louise Audry pour Numerama

Mais d’après IBM, il semble que les hackers ne visent pas une déstabilisation de la chaîne, mais plutôt un recueil d’informations sur le transport et le stockage des vaccins, pour déterminer les meilleures pratiques. Les pirates espèrent dérober les identifiants d’email et d’applications professionnels de certains responsables, qu’ils pourront ensuite utiliser pour espionner les stratégies liés à la logistique.

Phishing au harpon

Plus précisément, IBM X-Force a identifié des emails de phishing, écrits sur-mesure pour l’opération, et ajusté selon chaque cible, toutes en place à des postes clés de leur organisation. Ce genre d’opération est connue sous le nom de « spear-phishing », et se distingue des phishings grand public, moins personnalisés, mais diffusés à bien plus large échelle.  Le message envoyé contient du jargon spécifique à l’industrie, et renvoie vers une pièce jointe en « .html ». Une fois ouvert, il demandera à la cible d’entrer ses identifiants. Dernier détail : l’email est signé du nom d’un vrai responsable commercial de Haier Biomedical, une entreprise chinoise qui fait partie de la plateforme de l’ONU dédiée à l’optimisation des équipements de la chaîne du froid des vaccins.

IBM liste la variété de cibles : des entreprises privées, des agences, et même des organisations gouvernementales… Certaines sont dans le transport, d’autres produisent de la glace ou conçoivent des technologies d’alimentation des réfrigérateurs. Des sites de commande au stockage, toute la chaîne de valeur est concernée. Les pirates ont également visé la direction générale de la fiscalité et de l’union douanière, une organisation dépendante de la Commission européenne, chargée de contrôler les flux de produits aux frontières, et notamment le matériel médical..

Des États derrière les attaques ?

Si les chercheurs d’IBM n’attribuent pas l’attaque à une organisation ou un pays particulier, ils n’ont tous de même que peu de doutes sur son origine : « Sans chemin évident vers une sortie d’argent, c’est improbable que des cybercriminels allouent le temps et les ressources nécessaires à la mise en place d’une opération calculée avec autant de cibles liées entre elles et réparties dans le monde. » Autrement dit, les analystes soupçonnent les hackers d’opérer pour le compte d’États, plutôt que dans leur propre intérêt. C’est un mode opératoire bien connu : les pays financent leurs opérations et ferment les yeux sur certaines activités. En échange, ils se servent des groupes de hackers pour déroger à certaines règles et se dédouaner de certaines attaques.  La Russie, la Chine, la Corée du Nord ou encore l’Iran sont connus pour déléguer leurs missions d’espionnages à des groupes indépendants, et ils ont tous déjà été pointés du doigt dans les attaques contre les laboratoires.

Suite aux avertissements de IBM, le FBI et le CISA (Cybersecurity and Infrastructure Security Agency) ont publié une alerte, qui a également été reprise en Europe par Interpol. Les chercheurs ne donnent pas de détail sur les éventuelles victimes.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux