全球疫苗生產商面臨一種高級復雜攻擊
近日,非營利性生物經濟信息共享和分析中心(BIO-ISAC)警告稱,一種復雜程度較高的新型惡意軟件(代號Tardigrade)正在針對疫苗生產商。該中心透露,今年至少有兩家從事生物藥物和疫苗制造的大型企業受到了相同惡意軟件的攻擊,似乎是有針對性的攻擊。
數據自動化公司BioBright 創始人兼 BIO-ISAC 董事會成員 Charles Fracchia 表示,Tardigrade 是一種針對生物經濟和生物制造領域 Windows 計算機的 APT ,“使用前所未有的復雜和隱蔽的工具”。起初,Tardigrade 可能會被誤認為是常見的勒索軟件,但讓它與眾不同的是其復雜性和自主性。與勒索軟件不同,Tardigrade 更在意的似乎是泄露數據和監控受害者。
安全研究人員聲稱,Tardigrade 似乎是 SmokeLoader 惡意軟件家族的一個變種,但更加自主——能夠自行決定選擇要修改的文件,在整個組織中橫向移動并采取其他行動,例如感染 USB 驅動器,而不是依賴指揮和控制中心。Fraccia 指出Tardigrade 將攻擊提升到了一個新的水平,他認為:“這幾乎可以肯定是間諜活動,是迄今為止我們在該領域見過的最復雜惡意軟件,這與國家黑客組織針對其他行業的 APT 攻擊活動極其相似。”
盡管Tardigrade是一種較為復雜的惡意軟件,但其初始感染方式卻很“傳統”——通過電子郵件,誘使收件人打開惡意文件。但 Tardigrade 惡意軟件還可以跨網絡橫向傳播,甚至感染 U 盤。惡意軟件研究員 Callie Churchwell 透露 Tardigrade 用于橫向傳播的一種方法是網絡共享,它“會從列表中創建具有隨機名稱的文件夾,例如:Prof Margaret Predovic。”
在新冠肺炎疫情大流行期間,世界各地都發生了針對制藥公司和生物經濟的攻擊,因為惡意攻擊者發現該行業與其對社會的更高價值相比,其防御能力更差。與BIO-ISAC 合作的研究人員表示,對 Tardigrade 能夠做什么的確切分析正在進行中,他們認為在看到攻擊的持續蔓延后公開披露是正確的。BIO-ISAC 建議有風險的生物制造組織審查其網絡隔離,確定組織內部保護的關鍵資產,測試和執行關鍵基礎設施的離線備份,檢查關鍵生物基礎設施組件的交付和升級情況,并且“假設自己已經是攻擊目標”以采取響應措施。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
