Politici, fabrikanten, mediabedrijven en overheidsinstanties zijn het slachtoffer geworden van een geavanceerde, aan China gelinkte cyberaanval, die hun computers infecteerde met malware.
Dus wat gebeurde er? Wie was het doelwit van cybercriminelen en hoe?
Wie werd aangevallen en hoe?
Volgens cyberbeveiligingsspecialisten Proefpunt, een groep, vermoedelijk Red Ladon, registreerde de domeinnaam "australianmorningnews (dot) com" op 8 april 2022, en vulde de site met plausibele nieuwsverhalen gekopieerd van bronnen, waaronder BBC Nieuws.
Doelstellingen waren onder meer bedrijven die betrokken zijn bij de productie, levering, onderhoud en constructie van offshore-energie projecten, evenals Australische politici, overheidsinstanties, militaire academische instellingen en openbare gezondheidszorg lichamen. Andere beoogde landen zijn Maleisië, Thailand, Singapore en Duitsland.
Slachtoffers hebben een e-mail ontvangen die vermoedelijk afkomstig is van een verslaggever van het fictieve mediabureau Australian Morning News. Erkennend dat de nieuwheid van de domeinregistratie en de amateuristische lay-out van de site argwaan kunnen wekken, sommige van de e-mails beweerden van een persoon te zijn, "probeerde een nieuwswebsite te maken", en op zoek naar een gebruiker feedback. Anderen boden redactionele functies aan en verzochten om medewerking.
Elke e-mail bevatte ook een link met een unieke trackingcode, waardoor de groep gemakkelijk kon identificeren welk doelwit de site bezocht.
Eenmaal op de website voerde de ScanBox-malware selectief JavaScript-payloads uit op een manier die zou voorkomen dat het slachtoffer werd getipt. Deze payloads omvatten keyloggers, informatie over browserplug-ins voor slachtoffers, browservingerafdrukken en plug-ins om te achterhalen of de antivirusservice, Kaspersky Internet Security, is geïnstalleerd.
Wat is Red Ladon en wat zijn de doelstellingen?
Red Ladon is een in China gevestigde dreigingsactor met een historische focus op de Zuid-Chinese Zee. Red Ladon, ook bekend als TA243, is sinds 2013 actief en wordt door de Australische autoriteiten geclassificeerd als een statelijke actor. Naast de meest recente aanvallen was Red Ladon betrokken bij de Copy-Paste-aanvallen van 2020 op Australische infrastructuurdiensten, volgens de Australische regering. Meestal is de groep maakt gebruik van phishing-aanvallen-evenals het gebruik van poortscanners om kwetsbaarheden in webservices te identificeren en te exploiteren.
Red Ladon lijkt geïnteresseerd te zijn in compromitterende bedrijven en landen die betrokken zijn bij energie-infrastructuurprojecten in wat China ziet als zijn eigen achtertuin. Eerdere doelen waren onder meer Europese bedrijven die betrokken zijn bij de bouw van windmolenparken in de Straat van Taiwan, en Maleisische bedrijven die betrokken zijn bij het Kasawari Gas Project.
Door de staat gesteunde cyberaanvallen gaan niet weg
Een bedrijf of land aanvallen via internet is een manier met een laag risico om doelen te bereiken die anders alleen met militaire of diplomatieke methoden zouden kunnen worden bereikt. Hoewel dat je misschien niet op dezelfde manier zorgen maakt als vallen voor een oplichterij, kan het aanvallen van belangrijke infrastructuur toch je dagelijks leven beïnvloeden.
