Političari, proizvođači, medijske tvrtke i vladine agencije postale su žrtve sofisticiranog kibernetičkog napada povezanog s Kinom, koji je zarazio njihova računala zlonamjernim softverom.
Dakle, što se dogodilo? Tko je i kako bio na meti kibernetičkih kriminalaca?
Tko je napadnut i kako?
Prema stručnjacima za kibernetičku sigurnost, ProofPoint, grupa, za koju se vjeruje da je Red Ladon, registrirala je naziv domene "australianmorningnews (točka) com" na 8. travnja 2022. i popunio web mjesto uvjerljivim vijestima kopiranim iz izvora uključujući BBC Vijesti.
Mete su uključivale tvrtke uključene u proizvodnju, opskrbu, održavanje i izgradnju offshore energije projektima, kao i australskim političarima, vladinim agencijama, vojnim akademskim institucijama i javnom zdravstvu tijela. Druge ciljane zemlje uključuju Maleziju, Tajland, Singapur i Njemačku.
Žrtve su dobile e-mail navodno od novinara fiktivne medijske agencije Australian Morning News. Priznajući da bi novost registracije domene i amaterski izgled stranice mogli pobuditi sumnju, za neke se e-poruke tvrdilo da dolaze od osobe koja "pokušava napraviti web stranicu s vijestima" i traži korisnika Povratne informacije. Drugi su nudili urednička mjesta i molbe za suradnju.
Svaki e-mail također je sadržavao poveznicu s jedinstvenim kodom za praćenje, što znači da je grupa mogla lako identificirati koja je meta posjetila stranicu.
Jednom kada se nađe na web stranici, zlonamjerni softver ScanBox selektivno je izvršavao korisni sadržaj JavaScripta na način da se izbjegne dojava žrtvi. Ova korisna opterećenja uključivala su keyloggere, informacije o dodatku preglednika žrtve, otiske prstiju preglednika i dodatke za otkrivanje je li antivirusna usluga, Kaspersky Internet Security, instalirana.
Što je Red Ladon i koji su njegovi ciljevi?
Red Ladon je akter prijetnji sa sjedištem u Kini s povijesnim fokusom na Južno kinesko more. Poznat i kao TA243, Red Ladon je aktivan od 2013., a australske vlasti ga klasificiraju kao državnog aktera. Uz najnovije napade, Red Ladon je bio umiješan u Copy-Paste napade 2020. na australske infrastrukturne usluge, prema australskoj vladi. Tipično, grupa koristi phishing napade— kao i korištenje skenera portova za prepoznavanje i iskorištavanje ranjivosti u uslugama usmjerenim na web.
Čini se da je Red Ladon zainteresiran za kompromitiranje tvrtki i zemalja uključenih u projekte energetske infrastrukture u onome što Kina vidi kao svoje dvorište. Prethodne mete uključuju europske tvrtke uključene u izgradnju vjetroelektrana u Tajvanskom tjesnacu i malezijske tvrtke povezane s plinskim projektom Kasawari.
Kibernetički napadi koje podupire država ne nestaju
Napad na tvrtku ili državu putem interneta način je niskog rizika za postizanje ciljeva koji bi se inače mogli postići samo vojnim ili diplomatskim metodama. Iako vas to možda ne brine na isti način na koji vas može zabrinjavati nasjedanje na prijevaru, napad na ključnu infrastrukturu može utjecati na vaš svakodnevni život.
