Politicienii, producătorii, companiile media și agențiile guvernamentale au căzut victimele unui atac cibernetic sofisticat, legat de China, care le-a infectat computerele cu malware.
Deci ce s-a întâmplat? Cine a fost vizat de infractorii cibernetici și cum?
Cine a fost atacat și cum?
Potrivit specialiștilor în securitate cibernetică, ProofPoint, un grup despre care se crede că este Red Ladon, a înregistrat numele de domeniu „australianmorningnews (dot) com” pe 8 aprilie 2022 și a populat site-ul cu știri plauzibile copiate din surse, inclusiv BBC Știri.
Țintele au inclus întreprinderi implicate în producția, furnizarea, întreținerea și construcția energiei offshore proiecte, precum și politicieni australieni, agenții guvernamentale, instituții academice militare și asistență medicală publică corpuri. Alte țări vizate includ Malaezia, Thailanda, Singapore și Germania.
Victimele au primit un e-mail presupus de la un reporter de la agenția de presă fictive Australian Morning News. Recunoscând că noutatea înregistrării domeniului și aspectul amator al site-ului ar putea trezi suspiciuni, unele dintre e-mailuri pretindeau că sunt de la o persoană, „încearcă să facă un site de știri” și caută utilizator părere. Alții au oferit poziții editoriale și solicitări de cooperare.
Fiecare e-mail conținea și un link cu un cod unic de urmărire, ceea ce înseamnă că grupul putea identifica cu ușurință care țintă a vizitat site-ul.
Odată ajuns pe site-ul web, programul malware ScanBox a executat selectiv încărcăturile utile JavaScript într-un mod care să evite informarea victimei. Aceste încărcături utile au inclus keylogger, informații despre pluginul browserului victimei, amprentarea browserului și pluginuri pentru a afla dacă serviciul antivirus, Kaspersky Internet Security, este instalat.
Ce este Red Ladon și care sunt scopurile lui?
Red Ladon este un actor de amenințări din China, cu un accent istoric pe Marea Chinei de Sud. Cunoscut și sub numele de TA243, Red Ladon este activ din 2013 și este clasificat de autoritățile australiene drept actor de stat. Pe lângă cele mai recente atacuri, Red Ladon a fost implicat în atacurile Copy-Paste din 2020 asupra serviciilor de infrastructură australiene, conform guvernului australian. De obicei, grupul folosește atacuri de tip phishing—precum și utilizarea scanerelor de porturi pentru a identifica și exploata vulnerabilitățile din serviciile de internet.
Red Ladon pare să fie interesat să compromită companiile și țările implicate în proiecte de infrastructură energetică în ceea ce China vede ca propria curte. Țintele anterioare includ companiile europene implicate în construcția de parcuri eoliene în strâmtoarea Taiwan și companiile malaeziene asociate cu Proiectul de gaz Kasawari.
Atacurile cibernetice susținute de stat nu dispar
Atacarea unei companii sau a unei țări prin internet este o modalitate cu risc scăzut de a atinge obiective care nu ar putea fi atinse decât prin metode militare sau diplomatice. Deși acest lucru s-ar putea să nu vă îngrijoreze în același mod în care ar putea face o înșelătorie, atacarea infrastructurii cheie vă poate afecta viața de zi cu zi.
