Adesso anche IBM denuncia attacchi da potenze straniere ai vaccini Covid-19. In questo caso è phishing sulle attività di distribuzione del vaccino, ma si collega a quanto segnalato pochi giorni fa da Microsoft su sofisticati attacchi, perpetrati principalmente da Cina e Russia, nei confronti delle aziende che stanno facendo ricerca o sviluppando vaccini contro il COVID-19.
Il Governo USA ha lanciato in precedenza simili allarmi nei confronti di attacchi da Cina e Russia.
Il phishing contro i vaccini da potenze straniere: denuncia di IBM
IBM ha denunciato oggi una campagna di spearphishing rivolta alle aziende coinvolte nello stoccaggio e nel trasporto di vaccini covid in ambienti a temperatura controllata.
Questi controlli consentono di inviare il medicinale in luoghi remoti. L’IBM sospetta che gli aggressori siano legati a un governo, ma hanno affermato di non avere prove sufficienti per determinare quale.
L’obiettivo degli aggressori potrebbe essere stato quello di rubare le credenziali di accesso da quelle società per ottenere l’accesso futuro “alle reti aziendali e alle informazioni sensibili relative alla distribuzione del vaccino COVID-19”, hanno detto i ricercatori. Non è chiaro quanto successo abbia avuto il phishing, ma ha colpito anche aziende italiane (e di altri Paesi europei, Taiwan e Corea del Sud).
La campagna di phishing scoperta da IBM è iniziata a settembre e ha preso di mira organizzazioni in sei paesi in Europa e Asia. Tutte le organizzazioni sembrano essere associate a un programma di filiera gestito da Gavi, un’organizzazione internazionale che si occupa di vaccini.
Gli aggressori hanno preso di mira le aziende dei settori dell’energia, della produzione e del software che supportano la distribuzione di un vaccino (IBM non ha nominato nessuno di loro). Con l’accesso alle comunicazioni interne di tali aziende, gli aggressori potrebbero raccogliere informazioni sull'”infrastruttura che i governi intendono utilizzare per distribuire un vaccino ai fornitori che lo forniranno “, hanno detto i ricercatori IBM.
Allarme Microsoft: le entità coinvolte
Microsoft menziona APT28 (Fancy Bear), un threat actor ben noto e collegato alla GRU, l’Intelligence militare russa, e due attori statali nord coreani, il ben noto Lazarus Group – il gruppo ad oggi sospettato di aver creato il ransomware WannaCry – e una entry che Microsoft identifica come Cerium. Le informazioni a riguardo sono minime e Microsoft non fornisce dettagli ulteriori, ma proviamo comunque a farne un’analisi.
Sappiamo che ci sono 7 entità coinvolte: un istituto di ricerca, un’azienda che ha sviluppato un test per il Covid e 5 tra aziende farmaceutiche e produttori di vaccino, distribuite tra: Canada, Francia, India, Corea del sud e Stati Uniti.
Stando al post, APT28 continua ad attaccare con password spraying e brute forcing per cercare di accedere agli account delle vittime. Mentre Lazarus si muove tramite attacchi di spear-phishing e falsi annunci di lavoro, con lo stesso intento. Anche Cerium cerca di adescare le proprie vittime con email di spear-phishing che tentano di impersonare alcuni rappresentanti dell’OMS. Microsoft riporta che alcuni di questi attacchi sono andati a buon fine, ma di nuovo non offre spunti significativi per comprenderne meglio l’impatto.
In particolare, la mancanza di ogni riferimento agli strumenti utilizzati, e relative tattiche adottate, può lasciar pensare che la stessa Microsoft non abbia (ancora perlomeno) visibilità completa sulle operazioni – al di fuori dei tentativi di accesso iniziale – dei vari attori ed il relativo impatto. Senza questi elementi non possiamo trarre conclusioni certe, ma possiamo procedere con un’analisi degli scenari.
Vaccini anti-covid sotto attacco
Praticamente ogni fase del lavoro delle aziende farmaceutiche per produrre un vaccino è stata presa di mira dagli hacker. Il governo degli Stati Uniti ha accusato gli hacker cinesi di prendere di mira la ricerca sui vaccini a maggio e sono emersi anche esempi di operazioni di spionaggio simili legate alla Corea del Nord e alla Russia.
Che ci sarebbe stato molto interesse intorno ai vaccini era scontato, come abbiamo scritto in un precedente articolo. Questa settimana Pfizer richiederà l’autorizzazione straordinaria per la diffusione del proprio vaccino al pubblico, pochi giorni dopo dovrebbe seguire anche Moderna. In maniera rapida tutti i vaccini attualmente in fase 3 (10 al momento della stesura di questo pezzo) inizieranno il processo di revisione da parte delle autorità, l’ultimo step prima della diffusione al pubblico. Da questo momento in poi il focus dei vari attaccanti si sposterà prima verso la filiera di produzione e poi sulla linea di distribuzione dei vaccini.
Se da un lato l’accesso ai dati di ricerca ha alto valore di intelligence, in grado di accorciare i tempi di sviluppo per quelle nazioni indietro con la ricerca – o di validare alternative sulle quali non si era investito – dall’altro l’accesso alla linea di produzione ha un alto valore strategico. E in questo frangente chi preoccupa di più è forse proprio la Corea del Nord. Il paese, infatti, ha dichiarato il 30 settembre di non aver avuto nessun caso di Covid (con 3374 tamponi negativi effettuati su una popolazione di 25 milioni di persone), per poi attivare esattamente un mese dopo un ordine di “Shoot on Sight”, contro tutti coloro che si trovassero nelle “buffer zone” attivate ai confini tra le varie città, oppure in prossimità delle frontiere.
Non si hanno ad oggi notizie certe sullo stato della ricerca di un vaccino in Corea del Nord, ma viste le limitate risorse del paese è ragionevole immaginare che, senza aiuti esterni, i tempi potrebbero essere ancora lunghi. Le strade possibili sono essenzialmente due: riuscire ad ottenere vaccini sufficienti dalla Cina o lavorare per acquisire intelligence all’esterno. Quest’ultimo aspetto giustifica pienamente l’attività di Lazarus e Cerium. Ma una Corea del Nord messa alle strette potrebbe diventare ancora più belligerante, perché potrebbe adoperare le proprie risorse per mettere a repentaglio la filiera di produzione, e quindi rallentare le operazioni di distribuzione anche in maniera significativa.
Lo scorso 22 ottobre Dr. Reddy’s Laboratories, una multinazionale farmaceutica Indiana che sta lavorando alla produzione dello Sputnik V, il vaccino russo, è stata costretta a fermare le proprie operazioni a causa di un attacco ransomware. Negli ultimi mesi, soprattutto in Italia, abbiamo visto tantissime aziende di alto profilo, da Luxottica a Geox, colpite da questo tipo di attacchi, mettendo in luce la dipendenza del settore manifatturiero dai sistemi informatici, e l’incredibile vulnerabilità a questo tipo di attacchi.
Eccezion fatta per Cerium, che come dicevamo è una new entry per ora identificata soltanto negli attacchi menzionati e non sappiamo quale ruolo giocherà in futuro, APT28 e Lazarus Group sono ampiamente in grado di compromettere e mantenere accesso in infrastrutture di alto profilo. APT28 è attivissimo dal 2014 in una serie di operazioni che hanno, nella maggior parte dei casi, target europei con fini quasi esclusivamente politici e più raramente di sabotaggio.
Qualcuno ricorderà infatti l’attacco malware contro le milizie ucraine, per ottenere la posizione degli Howitzer utilizzati dall’artiglieria e quindi fornire dati di posizionamento precisi poi utilizzati dalle truppe russe. O ancora gli attacchi contro lo staff del presidente Macron e della cancelliera Merkel durante le rispettive campagne elettorali nel 2016 e 2017.
Lazarus Group invece è un gruppo che si sposta in maniera molto orizzontale, muovendosi da attacchi DDoS, a breach di alto profilo come quello contro Sony, passando attraverso campagne ransomware (WannaCry) e operazioni finanziarie contro banche e criptovalute, quasi certamente utilizzate per aggirare le sanzioni fiscali imposte al paese.
I “colli di bottiglia” che rischiano: distribuzione e stoccaggio dei vaccini
Man mano che i vaccini passeranno alla fase di revisione, la pressione sugli istituti di ricerca scenderà perché quegli stessi dati saranno più facilmente ottenibili con mezzi tradizionali. La dinamica si sposta quindi sul controllo della distribuzione, la fase forse più delicata, e tutto sarà deciso dalla tipologia di interessi in gioco. Se si dovesse passare da un interesse verso le metodologie di ricerca ad un interesse strategico per il controllo della catena, lo scenario cambierebbe nettamente, passando dall’intelligence al sabotaggio.
Identificare chi produce i vaccini è oggi un compito triviale, tuttavia si tratta di molteplici aziende quasi sempre multinazionali. La pressione in genere si applica sui colli di bottiglia che in questo caso sono rappresentati da due entità principali: chi distribuirà i vaccini e chi ne effettuerà lo stoccaggio. Abbiamo infatti visto che alcuni vaccini, primo tra tutti quello di Pfizer, richiedono una temperatura di stoccaggio e trasporto di -70C. Mantenere questo requisito è tutt’altro che banale, ma anche i vaccini con requisiti più leggeri, come quello di Moderna che può essere conservato ai meglio gestibili -4C, verranno trasportati da un numero estremamente limitato di entità, per la maggior parte: DHL, FedEx e UPS, rappresentando un collo di bottiglia estremamente interessante dal punto di vista di attacchi mirati.
FedEx non è nuova ad attacchi di tipo distruttivo, avendone subiti già 2, ed avendo sperimentato direttamente l’effetto di WannaCry e poi NotPetya sulla propria infrastruttura. L’azienda aveva quantificato le proprie perdite in 300 milioni di dollari e durante l’attacco la propria operatività fu pesantemente compromessa. Basterebbero quindi pochi attacchi, effettuati con precisione chirurgica, per compromettere una filiera che è già enormemente sotto pressione.
Allo stato attuale la capacità di trasporto cargo globale è scesa del 30%, laddove la domanda è invece scesa solo del 15%. Questo fattore contribuisce pesantemente ad aumentare la pressione sulle aziende appena menzionate, poiché, tra capacità ridotta e requisiti di trasporto unici, non è immediato far leva sulle linee aeree tradizionali per alleggerire il carico delle compagnie di trasporto merci.
Dopo il trasporto aereo, il collo di bottiglia passa allo stoccaggio. UPS ad esempio ha appena terminato due magazzini adatti a mantenere la catena del freddo per il vaccino della Pfizer, uno in Kentucky e l’altro nei Paesi Bassi. DHL e FedEx stanno seguendo strade simili, ma di certo questi pochi punti di accesso sono dei nodi di enorme criticità. Potenzialmente, se i sistemi di gestione della refrigerazione dovessero esser messi offline, si potrebbe compromettere in un colpo solo la distribuzione del vaccino in una buona fetta d’Europa.
Conclusioni
A conti fatti lo sforzo per la distribuzione del vaccino sarà l’impresa logistica più complessa mai tentata dall’uomo, più complessa di quella che viene presa come esempio principe degli sforzi logistici, ovvero quelli che seguirono lo sbarco in Normandia durante la Seconda guerra mondiale. Non sono in pochi a pensare che le strutture attuali non siano pronte a questo tipo di eventi. Il direttore della logistica dell’aeroporto internazionale di Miami ha dichiarato a Bloomberg che inizierebbero ad avere problemi seri se l’aeroporto dovesse ricevere anche solo 20 o 30 voli al giorno contenenti materiale farmaceutico. Considerato il fatto che svariati candidati vaccini richiederanno due dosi, si stima uno sforzo di almeno 8000 voli cargo per la distribuzione nel 2021 alla metà della popolazione globale. Una missione non impossibile, ma che di certo presenta sfide mai affrontate prima dal settore.
Tuttavia, non ci sono molte ragioni per sostenere che operatori statali si muoveranno con fini di sabotaggio. Russia e Cina hanno già i loro vaccini, attaccare l’Europa su questo fronte sarebbe assimilabile ad un vero e proprio atto di guerra, con relative conseguenze. L’elemento incerto è quello della Corea del Nord, che tende a muoversi in maniera più imprevedibile, ma anche in questo caso le ripercussioni potrebbero essere importanti e potrebbero comportare anche l’inaccessibilità al vaccino per i Nord Coreani. Una carta molto rischiosa da giocare soltanto per flettere i muscoli.
L’attenzione in ogni caso sarà altissima, tanto sui sistemi informatici che su quelli industriali. Mentre ci avviciniamo al proverbiale punto di svolta, che coinvolgerà ogni persona di questo pianeta, mi piace sperare che riusciremo a muoversi in maniera coesa, mettendo temporaneamente da parte le trame di palazzo per consentire a tutti di riappropriarsi, finalmente, della propria vita.
