Politici, výrobcovia, mediálne spoločnosti a vládne agentúry sa stali obeťami sofistikovaného kybernetického útoku spojeného s Čínou, ktorý nakazil ich počítače škodlivým softvérom.
Takže, čo sa stalo? Na koho sa kyberzločinci zamerali a ako?
Kto bol napadnutý a ako?
Podľa odborníkov na kybernetickú bezpečnosť ProofPoint, skupina, ktorá je považovaná za Red Ladon, si zaregistrovala názov domény „australianmorningnews (bodka) com“ na 8. apríla 2022 a zaplnila stránku hodnovernými správami skopírovanými zo zdrojov vrátane BBC Správy.
Medzi ciele patrili podniky zaoberajúce sa výrobou, dodávkami, údržbou a výstavbou energie na mori projekty, ako aj austrálski politici, vládne agentúry, vojenské akademické inštitúcie a verejné zdravotníctvo telá. Medzi ďalšie cieľové krajiny patria Malajzia, Thajsko, Singapur a Nemecko.
Obete dostali e-mail údajne od reportéra z fiktívnej austrálskej mediálnej agentúry Morning News. Uvedomujúc si, že novosť registrácie domény a amatérske rozloženie stránky môžu vzbudiť podozrenie, niektoré z e-mailov tvrdili, že sú od osoby, ktorá sa „snaží vytvoriť spravodajský web“ a hľadá používateľa spätná väzba. Ďalší ponúkali redakčné pozície a žiadosti o spoluprácu.
Každý e-mail obsahoval aj odkaz s jedinečným sledovacím kódom, čo znamená, že skupina mohla ľahko identifikovať, ktorý cieľ navštívil stránku.
Keď sa malvér ScanBox dostal na webovú stránku, selektívne spustil užitočné zaťaženia JavaScriptu spôsobom, ktorý zabránil vyvráteniu obete. Tieto užitočné zaťaženia zahŕňali keyloggery, informácie o doplnku prehliadača obete, odtlačky prstov prehliadača a doplnky na zistenie, či je nainštalovaná antivírusová služba Kaspersky Internet Security.
Čo je to Red Ladon a aké sú jeho ciele?
Red Ladon je aktér hrozieb so sídlom v Číne s historickým zameraním na Juhočínske more. Red Ladon, tiež známy ako TA243, je aktívny od roku 2013 a austrálske úrady ho klasifikujú ako štátneho aktéra. Okrem najnovších útokov bol Red Ladon zapletený do útokov Copy-Paste v roku 2020 na austrálske infraštruktúrne služby, podľa austrálskej vlády. Typicky skupina používa phishingové útoky—ako aj používanie skenerov portov na identifikáciu a využívanie zraniteľných miest v službách orientovaných na internet.
Zdá sa, že Red Ladon má záujem kompromitovať spoločnosti a krajiny zapojené do projektov energetickej infraštruktúry v tom, čo Čína považuje za svoj vlastný dvor. Medzi predchádzajúce ciele patria európske spoločnosti zapojené do výstavby veterných fariem v Taiwanskom prielive a malajské spoločnosti spojené s projektom Kasawari Gas Project.
Štátom podporované kybernetické útoky neutíchajú
Útok na spoločnosť alebo krajinu cez internet je nízkorizikový spôsob dosiahnutia cieľov, ktoré by sa inak dali dosiahnuť len vojenskými alebo diplomatickými metódami. Aj keď vás to nemusí znepokojovať rovnakým spôsobom, ako by ste sa mohli stať podvodom, útok na kľúčovú infraštruktúru môže ovplyvniť váš každodenný život.