Politycy, producenci, firmy medialne i agencje rządowe padły ofiarą wyrafinowanego cyberataku związanego z Chinami, który zainfekował ich komputery złośliwym oprogramowaniem.
Więc co się stało? Kto był celem cyberprzestępców iw jaki sposób?
Kto został zaatakowany i jak?
Według specjalistów ds. cyberbezpieczeństwa, ProofPoint, grupa uważana za Red Ladon, zarejestrowała nazwę domeny „australianmorningnews (dot) com” na 8 kwietnia 2022 r. i zapełnił witrynę wiarygodnymi wiadomościami skopiowanymi ze źródeł, w tym BBC Aktualności.
Cele obejmowały firmy zajmujące się produkcją, dostawą, konserwacją i budową energetyki morskiej projekty, a także australijscy politycy, agencje rządowe, wojskowe instytucje akademickie i publiczna opieka zdrowotna ciała. Inne kraje docelowe to Malezja, Tajlandia, Singapur i Niemcy.
Ofiary otrzymały e-mail rzekomo od reportera z fikcyjnej agencji medialnej Australian Morning News. uznając, że nowość rejestracji domeny i amatorski układ strony może budzić podejrzenia, niektóre e-maile rzekomo pochodziły od osoby, która „próbuje stworzyć witrynę z wiadomościami” i szuka użytkownika informacja zwrotna. Inni oferowali stanowiska redakcyjne i prośby o współpracę.
Każdy e-mail zawierał również link z unikalnym kodem śledzenia, co oznaczało, że grupa mogła łatwo zidentyfikować, który cel odwiedził witrynę.
Po wejściu na stronę złośliwe oprogramowanie ScanBox selektywnie uruchamiało ładunki JavaScript w sposób, który pozwalał uniknąć ostrzeżenia ofiary. Te ładunki zawierały keyloggery, informacje o wtyczkach do przeglądarki ofiary, odciski palców przeglądarki oraz wtyczki umożliwiające sprawdzenie, czy zainstalowano usługę antywirusową Kaspersky Internet Security.
Czym jest Red Ladon i jakie są jego cele?
Red Ladon jest chińskim aktorem zajmującym się zagrożeniami, który historycznie koncentruje się na Morzu Południowochińskim. Znany również jako TA243, Red Ladon jest aktywny od 2013 roku i jest klasyfikowany przez władze australijskie jako aktor stanowy. Oprócz ostatnich ataków Red Ladon był zamieszany w ataki typu „kopiuj i wklej” w 2020 r. na australijskie usługi infrastrukturalne, według rządu australijskiego. Zazwyczaj grupa wykorzystuje ataki phishingowe—a także wykorzystywanie skanerów portów do identyfikowania i wykorzystywania luk w zabezpieczeniach usług internetowych.
Red Ladon wydaje się być zainteresowany kompromitowaniem firm i krajów zaangażowanych w projekty infrastruktury energetycznej na tym, co Chiny postrzegają jako własne podwórko. Poprzednie cele obejmują firmy europejskie zaangażowane w budowę farm wiatrowych w Cieśninie Tajwańskiej oraz firmy malezyjskie związane z projektem Kasawari Gas.
Wspierane przez państwo cyberataki nie znikną
Atakowanie firmy lub kraju przez Internet jest mało ryzykownym sposobem osiągnięcia celów, które w inny sposób można by osiągnąć jedynie za pomocą metod wojskowych lub dyplomatycznych. Chociaż może to nie martwić w taki sam sposób, jak napadnięcie na oszustwo, atakowanie kluczowej infrastruktury może jednak wpłynąć na Twoje codzienne życie.
