北朝鲜骇客集团Lazarus入侵卫生机关与COVID-19疫苗开发公司

就在日前传出骇客针对全球疫苗的冷链供应链展开网钓攻击，以及负责审核COVID-19疫苗的欧洲药品管理局（European Medicines Agency，EMA）遭到骇客入侵之后，俄罗斯资安业者卡巴斯基（Kaspersky）本周点名北朝鲜骇客集团Lazarus在今年接连入侵了一家疫苗开发公司，以及一个国家卫生机关。

根据卡巴斯基的分析，Lazarus是在今年9月25日于某家专门开发COVID-19疫苗的制药公司部署了Bookcode恶意程式，虽然卡巴斯基并未公布该制药公司的名称，但说该公司正在开发COVID-19疫苗，而且已被批准可生产及分配疫苗。

目前美国疾病管制与预防中心（CDC）批准与推荐使用的两款COVID-19疫苗，为辉瑞及BioNTech共同打造的BNT162b2 （Comirnaty），以及由Moderna所开发的mRNA1273。至于欧洲药品管理局目前则只推荐Comirnaty。

研究人员表示，他们在这家制药公司的服务器上发现了Bookcode恶意程式丛集，它会搜集受害系统及网络上的资料，进行横向移动，亦于服务器上建立了后门，以接收来自命令暨控制（C&C）服务器的指令，分析后发现它连至4个C&C服务器，这4个服务器是被危害的，且皆位于韩国。

另一次锁定国家卫生机构的攻击则是发生在10月27日，骇客入侵了该机构的多个Windows服务器，同样在这些服务器上植入了恶意程式丛集，但这次所使用的恶意程式为wAgent，专门用来搜集受害者环境中的资讯。

研究人员并不确定骇客进驻被骇系统的手法，也许是透过网钓邮件或是供应链攻击，此外，虽然这两次攻击使用了不同的恶意程式，但卡巴斯基认为它们皆源自于Lazarus。因为为Lazarus先前也曾利用wAgent来攻击全球的加密货币产业，而Bookcode则是之前Lazarus曾使用恶意程式Manuscrypt的变种，此外，在成功进驻受害者系统之后，骇客用来搜集资讯的手法都一样。

不管Lazarus这波行动的攻击动机为何，卡巴斯基呼吁所有进行疫苗研究或危机处理的机构都应该更加谨慎地防范网络攻击。