Politici, výrobci, mediální společnosti a vládní agentury se stali obětí sofistikovaného kybernetického útoku spojeného s Čínou, který infikoval jejich počítače malwarem.
Tak, co se stalo? Na koho a jak se zaměřili kyberzločinci?
Kdo byl napaden a jak?
Podle odborníků na kybernetickou bezpečnost ProofPoint, skupina, která je považována za Red Ladon, zaregistrovala název domény „australianmorningnews (tečka) com“ na 8. dubna 2022 a zaplnila web věrohodnými zprávami zkopírovanými ze zdrojů včetně BBC Zprávy.
Mezi cíle patřily podniky zabývající se výrobou, dodávkou, údržbou a výstavbou energie na moři projekty, stejně jako australští politici, vládní agentury, vojenské akademické instituce a veřejné zdravotnictví těla. Mezi další cílové země patří Malajsie, Thajsko, Singapur a Německo.
Oběti dostaly e-mail údajně od reportéra z fiktivní australské mediální agentury Morning News. Uvědomujeme si, že novost registrace domény a amatérské rozvržení stránek mohou vzbudit podezření, některé e-maily tvrdily, že pocházejí od osoby, která se „pokouší vytvořit zpravodajský web“ a hledá uživatele zpětná vazba. Jiní nabídli redakční místa a žádosti o spolupráci.
Každý e-mail také obsahoval odkaz s jedinečným sledovacím kódem, což znamená, že skupina mohla snadno identifikovat, který cíl navštívil web.
Jakmile se malware ScanBox dostal na web, selektivně spouštěl užitečné zatížení JavaScriptu způsobem, který by zabránil napomenutí oběti. Tyto užitečné zatížení zahrnovaly keyloggery, informace o pluginu prohlížeče oběti, otisky prstů prohlížeče a pluginy, abyste zjistili, zda je nainstalována antivirová služba Kaspersky Internet Security.
Co je Red Ladon a jaké jsou jeho cíle?
Red Ladon je čínský aktér ohrožení s historickým zaměřením na Jihočínské moře. Red Ladon, známý také jako TA243, působí od roku 2013 a australské úřady ho klasifikují jako státního aktéra. Kromě nejnovějších útoků byl Red Ladon zapleten do útoků Copy-Paste v roce 2020 na australské infrastrukturní služby, podle australské vlády. Typicky skupina používá phishingové útoky—stejně jako používání skenerů portů k identifikaci a využívání zranitelností webových služeb.
Zdá se, že Red Ladon má zájem kompromitovat společnosti a země zapojené do projektů energetické infrastruktury v tom, co Čína považuje za svůj vlastní dvorek. Předchozí cíle zahrnují evropské společnosti zapojené do výstavby větrných farem v Tchajwanském průlivu a malajské společnosti spojené s projektem Kasawari Gas Project.
Státem podporované kybernetické útoky neutichají
Útok na společnost nebo zemi přes internet je nízkorizikový způsob, jak dosáhnout cílů, kterých by bylo jinak možné dosáhnout pouze vojenskými nebo diplomatickými metodami. I když vás to nemusí znepokojovat stejným způsobem, jako byste se mohli stát podvodem, útok na klíčovou infrastrukturu může přesto ovlivnit váš každodenní život.
