Poliitikot, valmistajat, mediayhtiöt ja valtion virastot ovat joutuneet kehittyneen, Kiinaan liittyvän kyberhyökkäyksen uhriksi, joka on tartuttanut heidän tietokoneitaan haittaohjelmilla.
Mitä tapahtui? Ketkä joutuivat kyberrikollisten kohteeksi ja miten?
Ketä vastaan hyökättiin ja miten?
Kyberturvallisuusasiantuntijoiden mukaan ProofPoint, ryhmä, jonka uskotaan olevan Red Ladon, rekisteröi verkkotunnuksen "australianmorningnews (dot) com" 8. huhtikuuta 2022 ja täytti sivuston uskottavilla uutisilla, jotka on kopioitu lähteistä, kuten BBC. Uutiset.
Kohteena olivat offshore-energian valmistukseen, toimitukseen, kunnossapitoon ja rakentamiseen osallistuvat yritykset projekteja sekä australialaisia poliitikkoja, valtion virastoja, akateemisia sotilaslaitoksia ja julkista terveydenhuoltoa kehot. Muita kohdemaita ovat Malesia, Thaimaa, Singapore ja Saksa.
Uhrit saivat sähköpostin oletettavasti fiktiivisen Australian Morning News -mediatoimiston toimittajalta. Myöntäen, että verkkotunnuksen rekisteröinnin uutuus ja amatöörimäinen sivuston ulkoasu saattavat herättää epäilyksiä, jotkin sähköpostit väittivät olevan henkilöltä, joka "yritti tehdä uutissivustoa" ja etsi käyttäjää palautetta. Muut tarjosivat toimituksellisia paikkoja ja yhteistyöpyyntöjä.
Jokainen sähköposti sisälsi myös linkin, jossa oli yksilöllinen seurantakoodi, mikä tarkoittaa, että ryhmä saattoi helposti tunnistaa, mikä kohde vieraili sivustolla.
Sivustolle päästyään ScanBox-haittaohjelma suoritti valikoivasti JavaScript-hyötykuormia tavalla, joka estää uhrin vihjailun. Nämä hyötykuormat sisälsivät näppäinloggereja, uhrin selainlaajennuksen tiedot, selaimen sormenjäljet ja laajennukset, joiden avulla voit selvittää, onko virustorjuntapalvelu Kaspersky Internet Security asennettu.
Mikä on Red Ladon ja mitkä ovat sen tavoitteet?
Red Ladon on Kiinassa toimiva uhkatoimija, jonka historiallinen painopiste on Etelä-Kiinan merellä. Red Ladon, joka tunnetaan myös nimellä TA243, on ollut aktiivinen vuodesta 2013, ja Australian viranomaiset ovat luokitelleet sen valtion toimijaksi. Viimeisimpien hyökkäysten lisäksi Red Ladon oli osallisena vuoden 2020 Copy-Paste-hyökkäyksissä australialaisia infrastruktuuripalveluja vastaan, Australian hallituksen mukaan. Yleensä ryhmä käyttää tietojenkalasteluhyökkäyksiä– sekä porttiskannereiden käyttäminen verkkopalveluiden haavoittuvuuksien tunnistamiseen ja hyödyntämiseen.
Red Ladon näyttää olevan kiinnostunut tekemään kompromisseja energiainfrastruktuurihankkeisiin osallistuvien yritysten ja maiden välillä Kiinan omana takapihallaan. Aikaisemmin kohteina ovat olleet Taiwanin salmen tuulipuiston rakentamiseen osallistuneet eurooppalaiset yritykset ja Kasawarin kaasuprojektiin liittyvät malesialaiset yritykset.
Valtion tukemat kyberhyökkäykset eivät katoa
Yrityksen tai maan hyökkääminen Internetin välityksellä on vähäriskinen tapa saavuttaa tavoitteita, jotka voitaisiin muuten saavuttaa vain sotilaallisin tai diplomaattisin menetelmin. Vaikka tämä ei välttämättä huolestuta sinua samalla tavalla kuin huijaukseen langettaminen saattaa aiheuttaa, keskeisten infrastruktuurien hyökkääminen voi kuitenkin vaikuttaa jokapäiväiseen elämääsi.