Bei den festgestellten Phishing-Versuchen gaben sich die Angreifer als Mitarbeiter des chinesischen Medizintechnik-Unternehmens Haier Biomedical aus, das angeblich der weltweit einzige Anbieter einer vollständigen Kühlkette ist. Die zwischen dem 7. und dem 9. September 2020 verschickten E-Mails behandelten Angebotsanfragen bezüglich eines „Cold Chain Equipment Optimization Platform“-Programms und verwiesen auf bestimmte Produkte von Haier Biomedical. Im Anhang befand sich ein unscharfes PDF-Formular mit einem Log-in-Feld, das bereits die E-Mail-Adresse des Opfers enthielt. Wurden hier Daten eingegeben, wurden diese an einen Command-and-Control-Server der Angreifer weitergeleitet.
Auffällig bei diesen Phishing-Angriffen ist sowohl, dass die Angreifer scheinbar über detailliertes Wissen über Kühlketten verfügen, als auch das Datum, zu dem die E-Mails verschickt wurden. Da zu diesem Zeitpunkt noch keiner der Impfstoffe zugelassen war, muss man davon ausgehen, dass die Kriminellen sich auf diese Art bereits in Stellung für künftige Angriffe bringen wollten, für die dann die erbeuteten Nutzerdaten zum Einsatz kommen sollten.
Bereits kurz nach der ersten Warnung der X-Force im Dezember entdeckten die Sicherheitsexperten eine weitere Spear-Phishing-E-Mail, die der ursprünglichen sehr ähnlich und an ein deutsches Pharma- und Biotech-Unternehmen gerichtet war, das an der Produktion der Impfstoffe beteiligt ist. Darüber hinaus handelt es sich um einen Kunden eines der Unternehmen, die bei der ersten Kampagne angegriffen wurden. Weitere Hinweise, wie die Nutzung der gleichen Command-and-Control-Infrastruktur und PDFs, deuten laut den Sicherheitsforschern stark darauf hin, dass hinter beiden Kampagnen dieselben Akteure stecken.
Auch zu den besonders betroffenen Branchen hat das Team der X-Force Angaben gemacht. So sind alle Bereiche, die an der Herstellung, dem Transport und der Verteilung der Impfstoffe beteiligt sind, grundsätzlich gefährdet. Dazu zählen Healthcare-Unternehmen genauso wie Logistiker und IT-Unternehmen, die für die technische Umsetzung der Verbreitung zuständig sind. Darüber hinaus wurden Cluster bei Regierungsorganisationen, Ministerien, Kühlgeräteherstellern und metallverarbeitenden Betrieben gefunden.
Wer hinter den Phishing-Angriffen steckt, ist bislang noch unklar, daher lassen sich zu den Zielen der Hintermänner nur Vermutungen anstellen. Von Interesse könnten vor allem Informationen zur Impfstoffbeschaffung einzelner Staaten, Zeitpläne zur Verbreitung der Impfstoffe sowie zum Ex- und Import sein. Auch Zolldokumente könnten in diesem Zusammenhang in den Fokus der Kriminellen rücken, beispielsweise um der Lage zu sein, diese zu fälschen. Darüber hinaus warnen die Sicherheitsforscher davor, dass auch technische Details zur Lagerung und zum Transport der temperaturempfindlichen Impfstoffe in die Hände der Hacker fallen könnten. Sollten diese Daten für Angriffe genutzt werden, wäre das ein großes Problem, das die weltweiten Bemühungen bei der Bekämpfung der Pandemie empfindlich behindern könnte.
Fälle wie dieser zeigen einmal mehr, dass Phishing ein großes Problem darstellt. Mit immer gewiefteren Methoden versuchen Kriminelle an ihr Ziel zu kommen. Schutz bietet hier nur konstante Aufklärung und Schulung aller Mitarbeiter, damit sie sich der Gefahr stets bewusst sind. Darüber hinaus helfen detaillierte Pläne die Schäden zu minimieren für den Fall, dass ein Sicherheitsverstoß festgestellt wird.,. Die Tatsache, dass es sich bei einem der Opfer der zweiten Kampagne um einen Kunden eines Unternehmens aus der ersten Welle handelt, zeigt außerdem, dass es nicht mehr ausreicht, sich auf das eigene Netzwerk zu beschränken. Auch Geschäftspartner, Zulieferer und Kunden sollten in die Sicherheitsstrategie eingebunden werden.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de