Politikere, producenter, medievirksomheder og statslige agenturer er blevet ofre for et sofistikeret, Kina-forbundet cyberangreb, som inficerede deres computere med malware.
Hvad skete der? Hvem blev målrettet af cyberkriminelle og hvordan?
Hvem blev angrebet og hvordan?
Ifølge cybersikkerhedsspecialister, ProofPoint, en gruppe, der menes at være Red Ladon, registrerede domænenavnet "australianmorningnews (dot) com" på 8. april 2022, og befolkede webstedet med plausible nyhedshistorier kopieret fra kilder, herunder BBC Nyheder.
Mål omfattede virksomheder involveret i fremstilling, levering, vedligeholdelse og konstruktion af offshore-energi projekter, såvel som australske politikere, statslige agenturer, militærakademiske institutioner og offentlig sundhedspleje kroppe. Andre målrettede lande omfatter Malaysia, Thailand, Singapore og Tyskland.
Ofrene modtog en e-mail angiveligt fra en reporter på det fiktive mediebureau, Australian Morning News. I erkendelse af, at det nye med domæneregistreringen og et amatøragtigt webstedslayout kan vække mistanke, nogle af e-mails hævdede at være fra en person, "forsøger at lave et nyhedswebsted", og leder efter bruger feedback. Andre tilbød redaktionelle stillinger og ønsker om samarbejde.
Hver e-mail indeholdt også et link med en unik sporingskode, hvilket betyder, at gruppen nemt kunne identificere, hvilket mål der besøgte webstedet.
En gang på webstedet, udførte ScanBox malware selektivt JavaScript-nyttelaster på en måde, der ville undgå at tippe offeret. Disse nyttelaster inkluderede keyloggere, oplysninger om offerbrowserplugin, browserfingeraftryk og plugins for at finde ud af, om antivirustjenesten Kaspersky Internet Security er installeret.
Hvad er Red Ladon, og hvad er dets mål?
Red Ladon er en Kina-baseret trusselsaktør med et historisk fokus på Det Sydkinesiske Hav. Også kendt som TA243, Red Ladon har været aktiv siden 2013, og er af de australske myndigheder klassificeret som en statslig aktør. Ud over de seneste angreb var Red Ladon impliceret i Copy-Paste-angrebene i 2020 på australske infrastrukturtjenester, ifølge den australske regering. Typisk gruppen bruger phishing-angreb— samt at anvende portscannere til at identificere og udnytte sårbarheder i web-facing services.
Red Ladon ser ud til at være interesseret i at kompromittere virksomheder og lande, der er involveret i energiinfrastrukturprojekter i, hvad Kina ser som sin egen baghave. Tidligere mål omfatter europæiske virksomheder involveret i vindmøllebyggeri i Taiwanstrædet og malaysiske virksomheder tilknyttet Kasawari Gas Project.
Statsstøttede cyberangreb forsvinder ikke
At angribe en virksomhed eller et land over internettet er en lavrisikometode til at nå mål, som kun ellers kunne opnås gennem militære eller diplomatiske metoder. Selvom det måske ikke bekymrer dig på samme måde, hvis du falder for et fupnummer, kan angreb på vigtig infrastruktur ikke desto mindre påvirke din hverdag.