Gli hacker stanno attaccando la catena di approvvigionamento tedesca dei DPI
9 Giugno 2020 - Tempo di lettura: 7 minuti
Gli hacker stanno attaccando i dirigenti di alto livello di una multinazionale tedesca facente parte di una task force del settore privato-governativo focalizzata sull'approvvigionamento di dispositivi di protezione individuale (DPI).
Gli aggressori alla base di questa campagna di spear-phishing legata alla pandemia hanno già tentato di rubare le credenziali dell'utente di oltre 100 dirigenti senior come hanno detto i ricercatori sulla sicurezza di IBM X-Force Incident Response and Intelligence Services (IRIS) in un rapporto pubblicato oggi.
I membri di questa task force sono stati incaricati dal governo tedesco di sfruttare le loro competenze e i contatti nei mercati esteri per garantire DPI come attrezzature mediche e maschere facciali, "in particolare dalle catene di approvvigionamento e di acquisto con sede in Cina", ha scoperto IBM.
Attacchi mirati contro la catena di approvvigionamento dei DPI
Gli attacchi sono iniziati il 30 marzo, subito dopo gli incontri tra il governo tedesco e le grandi società tedesche hanno chiesto di sostenere gli sforzi dei ministeri tedeschi della sanità, delle finanze e del ministero degli esteri federale per l'acquisto di DPI.
Lo stesso giorno, i dirigenti di una di queste nove corporazioni (società di logistica FIEGE, compagnia ferroviaria tedesca Deutsche Bahn, BASF, Bayer, Daimler, DHL, Lufthansa, Otto e Volkswagen) sono stati presi di mira con messaggi di phishing provenienti da un indirizzo IP russo.
Circa la metà degli account di posta elettronica attaccati "appartiene a dirigenti associati a operazioni, finanza e approvvigionamento all'interno della società destinataria", mentre l'altra metà "appartiene a dirigenti di partner di terze parti, comprese le società europee e americane associate alla produzione chimica, all'aviazione e trasporti, industria medica e farmaceutica, finanza, petrolio e gas e comunicazioni. "
I ricercatori sottolineano inoltre che gli attacchi sono in corso, con altri dirigenti di alto livello che prendono parte a questo sforzo per diventare potenzialmente obiettivi futuri.
"Dato il vasto targeting osservato di questa catena di approvvigionamento, è probabile che ulteriori membri della task force possano essere obiettivi di interesse in questa campagna malevola, che richiedono una maggiore vigilanza", si legge nel rapporto.
Campagna di raccolta credenziali in corso
L'hacker utilizza collegamenti ipertestuali incorporati che reindirizzano le potenziali vittime alle pagine di destinazione del phishing mimetizzate come moduli di accesso Microsoft che raccolgono e inviano le credenziali a diversi account di posta elettronica Yandex.
Sebbene al momento non sia noto il numero di obiettivi a cui sono stati compromessi i loro account, nei casi in cui è accaduto, gli hacker potrebbero assumere il controllo degli account della vittima consentendo loro di rubare informazioni sensibili, nonché compromettere ulteriormente altri obiettivi all'interno della rete.
"Questa scoperta rappresenta una campagna mirata alla precisione che sfrutta la corsa per proteggere i DPI essenziali", spiega IBM.
"In base alla nostra analisi, gli aggressori probabilmente intendevano compromettere le operazioni di approvvigionamento globali di una singola azienda internazionale, insieme ai loro ambienti partner dedicati a una nuova struttura di acquisti e logistica guidata dal governo.
Dato il vasto targeting osservato di questa catena di approvvigionamento, è probabile che ulteriori membri della task force possano essere obiettivi di interesse in questa campagna malevola, che richiedono una maggiore vigilanza".
