隨著COVID-19疫苗的關(guān)鍵性的工作已經(jīng)完成，輝瑞、Moderna和其他生物技術(shù)公司開始大規(guī)模生產(chǎn)疫苗，攻擊者現(xiàn)在比以往任何時(shí)候都更看重醫(yī)療行業(yè)的知識(shí)產(chǎn)權(quán)（IP）。最近幾起事件表明，隨著防疫工作的不斷推進(jìn)，一些國(guó)家正在對(duì)這些公司進(jìn)行網(wǎng)絡(luò)攻擊。

間諜攻擊活動(dòng)最近將目標(biāo)鎖定在了COVID-19疫苗的供應(yīng)鏈上，黑客繼續(xù)用Zebrocy等惡意軟件來(lái)對(duì)疫苗相關(guān)的工作機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。在本月早些時(shí)候，網(wǎng)絡(luò)攻擊者攻擊訪問(wèn)了輝瑞和BioNTech提交給歐盟監(jiān)管機(jī)構(gòu)的有關(guān)疫苗的文件。

最近的這些攻擊并不是什么新鮮事。自2020年1月以來(lái)，黑客就一直試圖從全球范圍內(nèi)的新冠肺炎大流行這個(gè)事件中進(jìn)行獲利。

7月，美國(guó)國(guó)土安全部（DHS）警告稱，與俄羅斯有關(guān)的APT29（又名Cozy Bear或The Dukes）一直在針對(duì)英國(guó)、加拿大和美國(guó)的研究公司進(jìn)行網(wǎng)絡(luò)攻擊。國(guó)土安全部警告說(shuō)，這個(gè)先進(jìn)的持續(xù)威脅（APT）集團(tuán)希望從學(xué)術(shù)機(jī)構(gòu)或者制藥機(jī)構(gòu)竊取COVID-19疫苗的研究成果。

同樣，美國(guó)司法部最近指控了由中國(guó)資助的網(wǎng)絡(luò)黑客對(duì)COVID-19研究機(jī)構(gòu)Moderna進(jìn)行的間諜攻擊。黑客竊取疫苗研究的數(shù)據(jù)和信息，這些重大事件應(yīng)該會(huì)給研究公司和公共部門敲響警鐘。庫(kù)里說(shuō)：“問(wèn)題不是會(huì)不會(huì)被黑客攻擊，而是攻擊已經(jīng)發(fā)生了多少次的問(wèn)題。

他補(bǔ)充說(shuō)，由國(guó)家支持的犯罪集團(tuán)資金充足、非常有耐心，而且技術(shù)高超。這意味著很可能有更多的攻擊行為正在進(jìn)行，但是這些并不是在表面就能看到的。

他說(shuō)：”一些組織很可能已經(jīng)滲透到了這些公司，而且還沒(méi)有被發(fā)現(xiàn)，他們正在竊取疫苗研制信息、專利和其他有價(jià)值的內(nèi)容。COVID的疫苗是一種有戰(zhàn)略意義（也許是至關(guān)重要的）的資產(chǎn)。誰(shuí)先拿到疫苗，誰(shuí)就有經(jīng)濟(jì)上的優(yōu)勢(shì)，它對(duì)一個(gè)國(guó)家及其經(jīng)濟(jì)發(fā)展來(lái)說(shuō)，至少價(jià)值數(shù)十億美元。它是具有直接價(jià)值的終極IP?！?/p>

網(wǎng)絡(luò)安全公司Digitalware首席技術(shù)官Rob Bathurst表示，關(guān)于APT滲透目標(biāo)的方式，像Emotet或Trickbot這樣的商業(yè)木馬就是特地為企業(yè)或者某些復(fù)雜的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的。這些后門可以獲得持久性，并為黑客進(jìn)一步入侵受害者的網(wǎng)絡(luò)系統(tǒng)提供了平臺(tái)。

他說(shuō)：”攻擊者的手法一般是先盡量使用簡(jiǎn)單易獲取的工具來(lái)完成攻擊，通常是先使用商業(yè)惡意軟件，只有在攻擊特定的目標(biāo)時(shí)才使用定制的軟件“。

國(guó)土安全部就警告說(shuō)，定制的攻擊套件確實(shí)已經(jīng)被發(fā)現(xiàn)了，比如APT29正在使用名為 ”WellMess “和 ”WellMail “的高級(jí)定制惡意軟件。

就保護(hù)IP而言，最好的防御方式就是像以前一樣從最基礎(chǔ)的部分開始。犯罪分子進(jìn)入任何計(jì)算機(jī)網(wǎng)絡(luò)中的最常見方法之一是通過(guò)網(wǎng)絡(luò)釣魚，員工點(diǎn)擊一封可疑的電子郵件，攻擊者就會(huì)投放上述的一種后門。這是今年在世衛(wèi)組織攻擊事件中發(fā)現(xiàn)的一種攻擊策略，通過(guò)仿造世衛(wèi)組織的內(nèi)部電子郵件系統(tǒng)來(lái)制作一個(gè)網(wǎng)絡(luò)釣魚頁(yè)面，并打算從多個(gè)員工那里竊取密碼。

Curry說(shuō)：”為了對(duì)抗這種類型的網(wǎng)絡(luò)攻擊，公司需要繼續(xù)完善他們的網(wǎng)絡(luò)安全措施，進(jìn)行全天候的威脅情報(bào)獵殺，并提高他們盡早發(fā)現(xiàn)惡意攻擊的能力，同時(shí)還需要對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，員工不應(yīng)打開來(lái)源不明的附件，也千萬(wàn)不要下載來(lái)源可疑的文件?！?/p>

在預(yù)防惡意軟件方面，巴瑟斯特說(shuō)：”沒(méi)有任何解決方案是完美的，防止IP竊取的唯一方法就是防止剛開始進(jìn)行的釣魚攻擊，并將損害值降到最低。“

為此，公司可以使用現(xiàn)代化的病毒防護(hù)措施，并結(jié)合行為分析和模式匹配、二進(jìn)制分析和執(zhí)行前分析等功能。而且，公司應(yīng)該定期審查網(wǎng)絡(luò)防御設(shè)備的配置，不僅僅只是檢查防火墻的規(guī)則。

巴瑟斯特補(bǔ)充說(shuō)，供應(yīng)鏈的安全也很關(guān)鍵。本月早些時(shí)候，IBM Security X-Force的研究人員發(fā)現(xiàn)了一個(gè)復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)，目標(biāo)是COVID-19 ”冷鏈 “相關(guān)的公司的證書，這些公司通過(guò)確保疫苗在適宜的環(huán)境中進(jìn)行儲(chǔ)存和運(yùn)輸，確保疫苗的安全保存。

供應(yīng)鏈攻擊包括針對(duì)研究人員、政府機(jī)構(gòu)、大學(xué)、制藥公司、治療病例的醫(yī)院以及參與制造成分的公司的攻擊。但是這些攻擊與大范圍的SolarWinds供應(yīng)鏈攻擊是不同的。

11月，全球生物技術(shù)公司Miltenyi Biotec報(bào)告了另外一起攻擊事件，目前該公司表示一直在與惡意軟件攻擊作斗爭(zhēng)。這些攻擊正在干擾研究COVID-19治療方法的研究人員的工作。

Bathurst解釋說(shuō)：”如果攻擊者希望獲取疫苗相關(guān)的數(shù)據(jù)，那么攻擊可能來(lái)自于能夠訪問(wèn)你的數(shù)據(jù)的第三方研究人員，你的臨床試驗(yàn)數(shù)據(jù)庫(kù)，你的研究團(tuán)隊(duì)，他們的家用電腦，表格上的筆記，實(shí)驗(yàn)室設(shè)備內(nèi)存或存儲(chǔ)，甚至是控制藥物制造工廠的工業(yè)控制系統(tǒng)。“

研究人員稱，最重要的是，這些攻擊的風(fēng)險(xiǎn)太高，間諜攻擊很快就會(huì)停止。事實(shí)上，最糟糕的情況可能還沒(méi)有到來(lái)。

Bathurst說(shuō)：”隨著流感季節(jié)的到來(lái)，我看到目前的攻擊活動(dòng)急劇增加，甚至已經(jīng)超出了所報(bào)道的內(nèi)容，繼續(xù)利用他們?cè)谡麄€(gè)生態(tài)中可以利用的一切來(lái)獲取信息，這符合國(guó)家情報(bào)機(jī)構(gòu)的利益?！?/p>

上周，卡巴斯基的研究人員報(bào)告稱，一個(gè)被稱為L(zhǎng)azarus Group的高級(jí)持久性威脅集團(tuán)和其他由國(guó)家支持的網(wǎng)絡(luò)攻擊者正試圖竊取COVID-19的研究成果，以加快他們國(guó)家的疫苗研發(fā)工作。
責(zé)編AJX