就在日前传出黑客针对全球疫苗的冷链供应链展开网络钓鱼攻击,以及负责审核COVID-19疫苗的欧洲药品管理局(European Medicines Agency,EMA)遭到黑客入侵之后,俄罗斯安全企业卡巴斯基(Kaspersky)本周点名朝鲜黑客集团Lazarus在今年接连入侵了一家疫苗开发公司,以及一个国家卫生机关。
根据卡巴斯基的分析,Lazarus是在今年9月25日于某家专门开发COVID-19疫苗的制药公司部署了Bookcode恶意程序,虽然卡巴斯基并未公布该制药公司的名称,但说该公司正在开发COVID-19疫苗,而且已被批准可生产及分配疫苗。
目前美国疾病管制与预防中心(CDC)批准与推荐使用的两款COVID-19疫苗,为辉瑞及BioNTech共同打造的BNT162b2(Comirnaty),以及由Moderna所开发的mRNA1273。至于欧洲药品管理局目前则只推荐Comirnaty。
研究人员表示,他们在这家制药公司的服务器上发现了Bookcode恶意程序集群,它会搜集受害系统及网络上的资料,进行横向移动,也于服务器上创建了后门,以接收来自命令暨控制(C&C)服务器的指令,分析后发现它连至4个C&C服务器,这4个服务器是被危害的,且皆位于韩国。
另一次锁定国家卫生机构的攻击则是发生在10月27日,黑客入侵了该机构的多个Windows服务器,同样在这些服务器上植入了恶意程序集群,但这次所使用的恶意程序为wAgent,专门用来搜集受害者环境中的信息。
研究人员并不确定黑客进驻被黑系统的手法,也许是通过网络钓鱼邮件或是供应链攻击,此外,虽然这两次攻击使用了不同的恶意程序,但卡巴斯基认为它们皆源自于Lazarus。因为为Lazarus先前也曾利用wAgent来攻击全球的加密货币产业,而Bookcode则是之前Lazarus曾使用恶意程序Manuscrypt的变种,此外,在成功进驻受害者系统之后,黑客用来搜集信息的手法都一样。
不管Lazarus这波行动的攻击动机为何,卡巴斯基呼吁所有进行疫苗研究或危机处理的机构都应该更加谨慎地防范网络攻击。