Политици, производители, медийни компании и правителствени агенции станаха жертва на сложна, свързана с Китай кибератака, която зарази компютрите им със зловреден софтуер.
И какво стана? Кой беше набелязан от киберпрестъпниците и как?
Кой беше нападнат и как?
Според специалисти по киберсигурност, ProofPoint, група, за която се смята, че е Red Ladon, регистрира името на домейн „australianmorningnews (точка) com“ на 8 април 2022 г. и напълни сайта с правдоподобни новини, копирани от източници, включително BBC Новини.
Целите включват предприятия, участващи в производството, доставката, поддръжката и изграждането на офшорна енергия проекти, както и австралийски политици, правителствени агенции, военни академични институции и обществено здравеопазване тела. Други целеви държави включват Малайзия, Тайланд, Сингапур и Германия.
Жертвите са получили имейл, уж от репортер на фиктивната медийна агенция Australian Morning News. Признавайки, че новината на регистрацията на домейна и аматьорското оформление на сайта може да предизвика подозрение, за някои от имейлите се твърди, че са от човек, който „се опитва да направи новинарски уебсайт“ и търси потребител обратна връзка. Други предлагаха редакторски позиции и молби за сътрудничество.
Всеки имейл също съдържа връзка с уникален код за проследяване, което означава, че групата може лесно да идентифицира коя цел е посетила сайта.
Веднъж попаднал на уебсайта, злонамереният софтуер на ScanBox избирателно изпълнява JavaScript полезни натоварвания по начин, който би избегнал подсказване на жертвата. Тези полезни натоварвания включват кийлогъри, информация за плъгина на браузъра на жертвата, пръстови отпечатъци на браузъра и плъгини, за да разберете дали антивирусната услуга Kaspersky Internet Security е инсталирана.
Какво е Red Ladon и какви са неговите цели?
Red Ladon е базиран в Китай заплашителен актьор с исторически фокус върху Южнокитайско море. Известен също като TA243, Red Ladon е активен от 2013 г. и е класифициран от австралийските власти като държавен актьор. В допълнение към най-новите атаки, Red Ladon беше замесен в атаките Copy-Paste през 2020 г. срещу австралийски инфраструктурни услуги, според австралийското правителство. Обикновено групата използва фишинг атаки—както и използване на скенери за портове за идентифициране и използване на уязвимостите в уеб услугите.
Red Ladon изглежда се интересува от компрометиране на компании и държави, участващи в енергийни инфраструктурни проекти в това, което Китай вижда като свой заден двор. Предишни цели включват европейски компании, участващи в изграждането на вятърни паркове в Тайванския пролив, и малайзийски компании, свързани с газовия проект Kasawari.
Подкрепяните от държавата кибератаки не изчезват
Атакуването на компания или държава по интернет е нискорисков начин за постигане на цели, които иначе биха могли да бъдат постигнати само чрез военни или дипломатически методи. Въпреки че това може да не ви тревожи по същия начин, по който може да се окаже, че се подлагате на измама, атаката на ключова инфраструктура може да повлияе на ежедневието ви.
