北韓駭客集團Lazarus入侵衛生機關與COVID-19疫苗開發公司

就在日前傳出駭客針對全球疫苗的冷鏈供應鏈展開網釣攻擊，以及負責審核COVID-19疫苗的歐洲藥品管理局（European Medicines Agency，EMA）遭到駭客入侵之後，俄羅斯資安業者卡巴斯基（Kaspersky）本周點名北韓駭客集團Lazarus在今年接連入侵了一家疫苗開發公司，以及一個國家衛生機關。

根據卡巴斯基的分析，Lazarus是在今年9月25日於某家專門開發COVID-19疫苗的製藥公司部署了Bookcode惡意程式，雖然卡巴斯基並未公布該製藥公司的名稱，但說該公司正在開發COVID-19疫苗，而且已被批准可生產及分配疫苗。

目前美國疾病管制與預防中心（CDC）批准與推薦使用的兩款COVID-19疫苗，為輝瑞及BioNTech共同打造的BNT162b2 （Comirnaty），以及由Moderna所開發的mRNA1273。至於歐洲藥品管理局目前則只推薦Comirnaty。

研究人員表示，他們在這家製藥公司的伺服器上發現了Bookcode惡意程式叢集，它會蒐集受害系統及網路上的資料，進行橫向移動，亦於伺服器上建立了後門，以接收來自命令暨控制（C&C）伺服器的指令，分析後發現它連至4個C&C伺服器，這4個伺服器是被危害的，且皆位於南韓。

另一次鎖定國家衛生機構的攻擊則是發生在10月27日，駭客入侵了該機構的多個Windows伺服器，同樣在這些伺服器上植入了惡意程式叢集，但這次所使用的惡意程式為wAgent，專門用來蒐集受害者環境中的資訊。

研究人員並不確定駭客進駐被駭系統的手法，也許是透過網釣郵件或是供應鏈攻擊，此外，雖然這兩次攻擊使用了不同的惡意程式，但卡巴斯基認為它們皆源自於Lazarus。因為為Lazarus先前也曾利用wAgent來攻擊全球的加密貨幣產業，而Bookcode則是之前Lazarus曾使用惡意程式Manuscrypt的變種，此外，在成功進駐受害者系統之後，駭客用來蒐集資訊的手法都一樣。

不管Lazarus這波行動的攻擊動機為何，卡巴斯基呼籲所有進行疫苗研究或危機處理的機構都應該更加謹慎地防範網路攻擊。