Politikere, produsenter, medieselskaper og offentlige etater har blitt ofre for et sofistikert, Kina-tilknyttet nettangrep, som infiserte datamaskinene deres med skadelig programvare.
Så hva skjedde? Hvem ble målrettet av nettkriminelle og hvordan?
Hvem ble angrepet og hvordan?
Ifølge nettsikkerhetsspesialister, ProofPoint, en gruppe, antatt å være Red Ladon, registrerte domenenavnet "australianmorningnews (dot) com" på 8. april 2022, og befolket nettstedet med plausible nyhetshistorier kopiert fra kilder inkludert BBC Nyheter.
Målene inkluderte virksomheter involvert i produksjon, forsyning, vedlikehold og bygging av offshore energi prosjekter, så vel som australske politikere, offentlige etater, militærakademiske institusjoner og offentlig helsevesen kropper. Andre målrettede land inkluderer Malaysia, Thailand, Singapore og Tyskland.
Ofrene mottok en e-post angivelig fra en reporter ved det fiktive mediebyrået Australian Morning News. Ved å erkjenne at det nye med domeneregistreringen og den amatørmessige utformingen av nettstedet kan vekke mistanke, noen av e-postene hevdet å være fra en person som "prøver å lage et nyhetsnettsted", og ser etter bruker tilbakemelding. Andre tilbød redaktørstillinger og ønsker om samarbeid.
Hver e-post inneholdt også en lenke med en unik sporingskode, noe som betyr at gruppen enkelt kunne identifisere hvilket mål som besøkte nettstedet.
En gang på nettstedet, utførte ScanBox malware selektivt JavaScript-nyttelast på en måte som ville unngå å tipse offeret. Disse nyttelastene inkluderte keyloggere, informasjon om nettleserplugin for offer, fingeravtrykk i nettleseren og plugins for å finne ut om antivirustjenesten Kaspersky Internet Security er installert.
Hva er Red Ladon, og hva er dens mål?
Red Ladon er en Kina-basert trusselaktør med et historisk fokus på Sørkinahavet. Også kjent som TA243, Red Ladon har vært aktiv siden 2013, og er klassifisert av australske myndigheter som en statlig aktør. I tillegg til de siste angrepene, ble Red Ladon involvert i Copy-Paste-angrepene i 2020 på australske infrastrukturtjenester, ifølge den australske regjeringen. Vanligvis gruppen bruker phishing-angrep– i tillegg til å bruke portskannere for å identifisere og utnytte sårbarheter i nettvendte tjenester.
Red Ladon ser ut til å være interessert i å kompromittere selskaper og land som er involvert i energiinfrastrukturprosjekter i det Kina ser på som sin egen bakgård. Tidligere mål inkluderer europeiske selskaper involvert i vindparkbygging i Taiwanstredet, og malaysiske selskaper tilknyttet Kasawari Gas Project.
Statsstøttede cyberangrep forsvinner ikke
Å angripe et selskap eller land over internett er en lavrisiko måte å oppnå mål som bare ellers kunne oppnås gjennom militære eller diplomatiske metoder. Selv om det kanskje ikke bekymrer deg på samme måte som det å falle for en svindel kan gjøre, kan angrep på viktig infrastruktur likevel påvirke hverdagen din.