Cibercriminales buscan robar investigación de la vacuna del COVID-19

APT29 vinculado a Rusia ha puesto su energía en robar la investigación de la vacuna contra el COVID-19 desarrollado por instituciones académicas y de investigación farmacéutica de varios países del mundo, incluído EE. UU.

Esto de acuerdo a una alerta conjunta emitida este jueves por el Departamento de Seguridad Nacional de los Estados Unidos (DHS), el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y el Establecimiento de Seguridad de las Comunicaciones (CSE) de Canadá.

El aviso de 14 páginas detalla la actividad reciente de APT29 , también conocido como CozyBear o los Dukes, incluido el uso de malware personalizado llamado «WellMess» y «WellMail» para la filtración de datos.

«A lo largo de 2020, APT29 se ha dirigido a varias organizaciones involucradas en el desarrollo de la vacuna COVID-19 en Canadá, Estados Unidos y el Reino Unido, muy probablemente con la intención de robar información y propiedad intelectual relacionada con el desarrollo y las pruebas de las vacunas COVID-19” sostiene el informe.

Esta actividad específica se observó a partir de abril, pero los investigadores de seguridad notaron que el espionaje de estado-nación dirigido a tratamientos y curas de coronavirus ha sido un fenómeno durante todo el año.

«COVID-19 es una amenaza existencial para todos los gobiernos del mundo, por lo que no es sorprendente que las capacidades de ciberespionaje se estén utilizando para recopilar información sobre una cura», dijo John Hultquist, director senior de análisis de Mandiant Threat Intelligence. “Las organizaciones que desarrollan vacunas y tratamientos para el virus están siendo fuertemente atacadas por actores rusos, iraníes y chinos que buscan una ventaja en su propia investigación. También hemos visto una focalización significativa de los gobiernos relacionada con COVID que comenzó tan temprano como enero «.

Explotaciones en juego

Para montar los ataques, APT29 está utilizando exploits para vulnerabilidades ya conocidas, de acuerdo con el análisis, junto con spearphishing para obtener así credenciales de autenticació. Los exploits en rotación incluyen el reciente error de inyección de código de Citrix (CVE-2019-19781); una falla publicitaria de Pulse Secure VPN (CVE-2019-11510); y problemas en FortiGate (CVE-2018-13379) y Zimbra (CVE-2019-9670).

«El grupo realizó un análisis básico de vulnerabilidades contra direcciones IP externas de propiedad de las organizaciones [seleccionadas]», según el informe. “El grupo luego desplegó exploits públicos contra los servicios vulnerables identificados. El grupo ha tenido éxito utilizando exploits recientemente publicados para ganar puntos de apoyo iniciales».

Una vez que un sistema se ve comprometido, el grupo busca obtener credenciales de autenticación adicionales para permitir un mayor acceso y propagación lateral.