Bei den festgestellten Phishing-Versuchen gaben sich die Angreifer als Mitarbeiter des chinesischen Medizintechnik-Unternehmens Haier Biomedical aus, das angeblich der weltweit einzige Anbieter einer vollständigen Kühlkette ist. Die zwischen dem 7. und dem 9. September 2020 verschickten E-Mails behandelten Angebotsanfragen bezüglich eines „Cold Chain Equipment Optimization Platform“-Programms und verwiesen auf bestimmte Produkte von Haier Biomedical. Im Anhang befand sich ein unscharfes PDF-Formular mit einem Log-in-Feld, das bereits die E-Mail-Adresse des Opfers enthielt. Wurden hier Daten eingegeben, wurden diese an einen Command-and-Control-Server der Angreifer weitergeleitet.
Auffällig bei diesen Phishing-Angriffen ist sowohl, dass die Angreifer scheinbar über detailliertes Wissen über Kühlketten verfügen, als auch das Datum, zu dem die E-Mails verschickt wurden. Da zu diesem Zeitpunkt noch keiner der Impfstoffe zugelassen war, muss man davon ausgehen, dass die Kriminellen sich auf diese Art bereits in Stellung für künftige Angriffe bringen wollten, für die dann die erbeuteten Nutzerdaten zum Einsatz kommen sollten.
Bereits kurz nach der ersten Warnung der X-Force im Dezember entdeckten die Sicherheitsexperten eine weitere Spear-Phishing-E-Mail, die der ursprünglichen sehr ähnlich und an ein deutsches Pharma- und Biotech-Unternehmen gerichtet war, das an der Produktion der Impfstoffe beteiligt ist. Darüber hinaus handelt es sich um einen Kunden eines der Unternehmen, die bei der ersten Kampagne angegriffen wurden. Weitere Hinweise, wie die Nutzung der gleichen Command-and-Control-Infrastruktur und PDFs, deuten laut den Sicherheitsforschern stark darauf hin, dass hinter beiden Kampagnen dieselben Akteure stecken.
Auch zu den besonders betroffenen Branchen hat das Team der X-Force Angaben gemacht. So sind alle Bereiche, die an der Herstellung, dem Transport und der Verteilung der Impfstoffe beteiligt sind, grundsätzlich gefährdet. Dazu zählen Healthcare-Unternehmen genauso wie Logistiker und IT-Unternehmen, die für die technische Umsetzung der Verbreitung zuständig sind. Darüber hinaus wurden Cluster bei Regierungsorganisationen, Ministerien, Kühlgeräteherstellern und metallverarbeitenden Betrieben gefunden.
Wer hinter den Phishing-Angriffen steckt, ist bislang noch unklar, daher lassen sich zu den Zielen der Hintermänner nur Vermutungen anstellen. Von Interesse könnten vor allem Informationen zur Impfstoffbeschaffung einzelner Staaten, Zeitpläne zur Verbreitung der Impfstoffe sowie zum Ex- und Import sein. Auch Zolldokumente könnten in diesem Zusammenhang in den Fokus der Kriminellen rücken, beispielsweise um der Lage zu sein, diese zu fälschen. Darüber hinaus warnen die Sicherheitsforscher davor, dass auch technische Details zur Lagerung und zum Transport der temperaturempfindlichen Impfstoffe in die Hände der Hacker fallen könnten. Sollten diese Daten für Angriffe genutzt werden, wäre das ein großes Problem, das die weltweiten Bemühungen bei der Bekämpfung der Pandemie empfindlich behindern könnte.
Fälle wie dieser zeigen einmal mehr, dass Phishing ein großes Problem darstellt. Mit immer gewiefteren Methoden versuchen Kriminelle an ihr Ziel zu kommen. Schutz bietet hier nur konstante Aufklärung und Schulung aller Mitarbeiter, damit sie sich der Gefahr stets bewusst sind. Darüber hinaus helfen detaillierte Pläne die Schäden zu minimieren für den Fall, dass ein Sicherheitsverstoß festgestellt wird.,. Die Tatsache, dass es sich bei einem der Opfer der zweiten Kampagne um einen Kunden eines Unternehmens aus der ersten Welle handelt, zeigt außerdem, dass es nicht mehr ausreicht, sich auf das eigene Netzwerk zu beschränken. Auch Geschäftspartner, Zulieferer und Kunden sollten in die Sicherheitsstrategie eingebunden werden.