Πολιτικοί, κατασκευαστές, εταιρείες μέσων ενημέρωσης και κυβερνητικές υπηρεσίες έχουν πέσει θύματα μιας εξελιγμένης κυβερνοεπίθεσης που συνδέεται με την Κίνα, η οποία μόλυνε τους υπολογιστές τους με κακόβουλο λογισμικό.
Λοιπόν τι έγινε? Ποιοι στοχοποιήθηκαν από κυβερνοεγκληματίες και πώς;
Ποιος δέχτηκε επίθεση και πώς;
Σύμφωνα με ειδικούς στον τομέα της κυβερνοασφάλειας, Απόδειξη, μια ομάδα, που πιστεύεται ότι είναι ο Red Ladon, κατοχύρωσε το όνομα τομέα "australianmorningnews (dot) com" στο 8 Απριλίου 2022 και γέμισε τον ιστότοπο με εύλογες ειδήσεις που αντιγράφηκαν από πηγές όπως το BBC Νέα.
Οι στόχοι περιλάμβαναν επιχειρήσεις που εμπλέκονται στην κατασκευή, προμήθεια, συντήρηση και κατασκευή υπεράκτιας ενέργειας έργα, καθώς και Αυστραλούς πολιτικούς, κυβερνητικές υπηρεσίες, στρατιωτικά ακαδημαϊκά ιδρύματα και δημόσια υγειονομική περίθαλψη σώματα. Άλλες στοχευμένες χώρες περιλαμβάνουν τη Μαλαισία, την Ταϊλάνδη, τη Σιγκαπούρη και τη Γερμανία.
Τα θύματα έλαβαν ένα email που υποτίθεται ότι από έναν ρεπόρτερ στο πλασματικό πρακτορείο μέσων ενημέρωσης Australian Morning News. Αναγνωρίζοντας ότι η νέα καταχώριση τομέα και η ερασιτεχνική διάταξη του ιστότοπου ενδέχεται να εγείρουν υποψίες, Μερικά από τα μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίστηκαν ότι προέρχονται από ένα άτομο, που "προσπαθούσε να δημιουργήσει έναν ιστότοπο ειδήσεων" και αναζητούσε χρήστη ανατροφοδότηση. Άλλοι πρόσφεραν συντακτικές θέσεις και αιτήματα συνεργασίας.
Κάθε email περιείχε επίσης έναν σύνδεσμο με έναν μοναδικό κώδικα παρακολούθησης, που σημαίνει ότι η ομάδα μπορούσε εύκολα να προσδιορίσει ποιος στόχος επισκέφτηκε τον ιστότοπο.
Μόλις βρισκόταν στον ιστότοπο, το κακόβουλο λογισμικό ScanBox εκτελούσε επιλεκτικά ωφέλιμα φορτία JavaScript με τρόπο που θα απέτρεπε το θύμα. Αυτά τα ωφέλιμα φορτία περιλάμβαναν keyloggers, πληροφορίες προσθήκης προγράμματος περιήγησης θύματος, δακτυλικά αποτυπώματα προγράμματος περιήγησης και προσθήκες για να μάθετε εάν η υπηρεσία προστασίας από ιούς, Kaspersky Internet Security, είναι εγκατεστημένη.
Τι είναι το Red Ladon και ποιοι είναι οι στόχοι του;
Ο Red Ladon είναι ένας παράγοντας απειλών με έδρα την Κίνα με ιστορική εστίαση στη Θάλασσα της Νότιας Κίνας. Γνωστό και ως TA243, ο Red Ladon δραστηριοποιείται από το 2013 και έχει χαρακτηριστεί από τις αυστραλιανές αρχές ως κρατικός παράγοντας. Εκτός από τις πιο πρόσφατες επιθέσεις, ο Red Ladon ενεπλάκη στις επιθέσεις Copy-Paste του 2020 σε υπηρεσίες υποδομής της Αυστραλίας. σύμφωνα με την αυστραλιανή κυβέρνηση. Τυπικά, η ομάδα χρησιμοποιεί επιθέσεις phishing—καθώς και τη χρήση σαρωτών θυρών για τον εντοπισμό και την εκμετάλλευση τρωτών σημείων σε υπηρεσίες που αντιμετωπίζουν τον ιστό.
Ο Red Ladon φαίνεται να ενδιαφέρεται να συμβιβάσει εταιρείες και χώρες που εμπλέκονται σε έργα ενεργειακής υποδομής σε αυτό που η Κίνα θεωρεί τη δική της αυλή. Στους προηγούμενους στόχους περιλαμβάνονται ευρωπαϊκές εταιρείες που ασχολούνται με την κατασκευή αιολικών πάρκων στα στενά της Ταϊβάν και εταιρείες της Μαλαισίας που συνδέονται με το Kasawari Gas Project.
Οι κυβερνοεπιθέσεις που υποστηρίζονται από το κράτος δεν εξαφανίζονται
Η επίθεση σε μια εταιρεία ή μια χώρα μέσω του Διαδικτύου είναι ένας τρόπος χαμηλού κινδύνου για την επίτευξη στόχων που θα μπορούσαν να επιτευχθούν διαφορετικά μόνο μέσω στρατιωτικών ή διπλωματικών μεθόδων. Αν και αυτό μπορεί να μην σας ανησυχεί με τον ίδιο τρόπο που θα μπορούσε να κάνει η απάτη, η επίθεση σε βασικές υποδομές μπορεί ωστόσο να επηρεάσει την καθημερινότητά σας.