Poliitikud, tootjad, meediaettevõtted ja valitsusasutused on langenud keeruka, Hiinaga seotud küberrünnaku ohvriks, mis nakatas nende arvutid pahavaraga.
Mis juhtus? Kes ja kuidas sattusid küberkurjategijate sihikule?
Keda ja kuidas rünnati?
Küberjulgeoleku spetsialistide sõnul ProofPoint, grupp, mis arvatakse olevat Red Ladon, registreeris domeeninime "australianmorningnews (dot) com" 8. aprillil 2022 ja täitis saidi usutavate uudistega, mis on kopeeritud allikatest, sealhulgas BBC. Uudised.
Sihtmärgid hõlmasid avamereenergia tootmise, tarnimise, hoolduse ja ehitamisega seotud ettevõtteid projektid, aga ka Austraalia poliitikud, valitsusasutused, sõjalised akadeemilised asutused ja avalik tervishoid kehad. Muude sihtriikide hulka kuuluvad Malaisia, Tai, Singapur ja Saksamaa.
Ohvrid said väidetavalt fiktiivse Austraalia Morning Newsi meediaagentuuri reporterilt meili. Tunnistades, et domeeni registreerimise uudsus ja amatöörlik saidi paigutus võivad äratada kahtlust, osa e-kirju väidetavalt pärines inimeselt, kes "püüdis teha uudiste veebisaiti" ja otsis kasutajat tagasisidet. Teised pakkusid toimetuse seisukohti ja koostöösoove.
Iga e-kiri sisaldas ka linki unikaalse jälgimiskoodiga, mis tähendab, et rühm sai hõlpsasti tuvastada, milline sihtmärk saiti külastas.
Veebisaidile jõudes käivitas ScanBoxi pahavara valikuliselt JavaScripti kasulikke koormusi viisil, mis väldiks ohvrile vihjeid. Need kasulikud koormused sisaldasid klahvilogijaid, ohvrite brauseri pistikprogrammide teave, brauseri sõrmejäljed ja pistikprogrammid, et teada saada, kas viirusetõrjeteenus Kaspersky Internet Security on installitud.
Mis on Red Ladon ja millised on selle eesmärgid?
Red Ladon on Hiinas asuv ohustaja, kes on ajalooliselt keskendunud Lõuna-Hiina merele. Red Ladon, tuntud ka kui TA243, on tegutsenud alates 2013. aastast ja Austraalia ametivõimud klassifitseerivad selle riigi osaliseks. Lisaks viimastele rünnakutele oli Red Ladon seotud 2020. aasta Copy-Pate rünnakutega Austraalia infrastruktuuriteenuste vastu, Austraalia valitsuse sõnul. Tavaliselt rühm kasutab andmepüügirünnakuid— samuti pordiskannerite kasutamine veebiteenuste haavatavuste tuvastamiseks ja ärakasutamiseks.
Red Ladon näib olevat huvitatud energiataristuprojektidega seotud ettevõtete ja riikide kompromiteerimisest selles, mida Hiina näeb omaenda tagahoovana. Varasemate sihtmärkide hulka kuuluvad Taiwani väinas tuuleparkide ehitamisega tegelevad Euroopa ettevõtted ja Kasawari gaasiprojektiga seotud Malaisia ettevõtted.
Riigi toetatud küberrünnakud ei kao kuhugi
Ettevõtte või riigi ründamine Interneti kaudu on madala riskiga viis eesmärkide saavutamiseks, mida saaks muul viisil saavutada ainult sõjaliste või diplomaatiliste meetoditega. Kuigi see ei pruugi teid samamoodi muretseda, kui pettusse sattumine, võib võtmeinfrastruktuuri ründamine teie igapäevaelu siiski mõjutada.
