近日,非营利性生物经济信息共享和分析中心(BIO-ISAC)警告称,一种复杂程度较高的新型恶意软件(代号Tardigrade)正在针对疫苗生产商。该中心透露,今年至少有两家从事生物药物和疫苗制造的大型企业受到了相同恶意软件的攻击,似乎是有针对性的攻击。
数据自动化公司BioBright 创始人兼 BIO-ISAC 董事会成员 Charles Fracchia 表示,Tardigrade 是一种针对生物经济和生物制造领域 Windows 计算机的 APT ,“使用前所未有的复杂和隐蔽的工具”。起初,Tardigrade 可能会被误认为是常见的勒索软件,但让它与众不同的是其复杂性和自主性。与勒索软件不同,Tardigrade 更在意的似乎是泄露数据和监控受害者。
安全研究人员声称,Tardigrade 似乎是 SmokeLoader 恶意软件家族的一个变种,但更加自主——能够自行决定选择要修改的文件,在整个组织中横向移动并采取其他行动,例如感染 USB 驱动器,而不是依赖指挥和控制中心。Fraccia 指出Tardigrade 将攻击提升到了一个新的水平,他认为:“这几乎可以肯定是间谍活动,是迄今为止我们在该领域见过的最复杂恶意软件,这与国家黑客组织针对其他行业的 APT 攻击活动极其相似。”
尽管Tardigrade是一种较为复杂的恶意软件,但其初始感染方式却很“传统”——通过电子邮件,诱使收件人打开恶意文件。但 Tardigrade 恶意软件还可以跨网络横向传播,甚至感染 U 盘。恶意软件研究员 Callie Churchwell 透露 Tardigrade 用于横向传播的一种方法是网络共享,它“会从列表中创建具有随机名称的文件夹,例如:Prof Margaret Predovic。”
在新冠肺炎疫情大流行期间,世界各地都发生了针对制药公司和生物经济的攻击,因为恶意攻击者发现该行业与其对社会的更高价值相比,其防御能力更差。与BIO-ISAC 合作的研究人员表示,对 Tardigrade 能够做什么的确切分析正在进行中,他们认为在看到攻击的持续蔓延后公开披露是正确的。BIO-ISAC 建议有风险的生物制造组织审查其网络隔离,确定组织内部保护的关键资产,测试和执行关键基础设施的离线备份,检查关键生物基础设施组件的交付和升级情况,并且“假设自己已经是攻击目标”以采取响应措施。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】