Politiker, Hersteller, Medienunternehmen und Regierungsbehörden wurden Opfer eines ausgeklügelten, mit China in Verbindung stehenden Cyberangriffs, der ihre Computer mit Malware infizierte.
Also was ist passiert? Wer wurde von Cyberkriminellen angegriffen und wie?
Wer wurde angegriffen und wie?
Laut Cybersicherheitsspezialisten ProofPoint, eine Gruppe, von der angenommen wird, dass sie Red Ladon ist, registrierte den Domainnamen „australianmorningnews (dot) com“ auf April 2022 und füllte die Website mit plausiblen Nachrichten, die aus Quellen wie der BBC kopiert wurden Nachrichten.
Zu den Zielen gehörten Unternehmen, die an der Herstellung, Lieferung, Wartung und dem Bau von Offshore-Energie beteiligt sind Projekte sowie australische Politiker, Regierungsbehörden, militärische akademische Einrichtungen und das öffentliche Gesundheitswesen Körper. Weitere Zielländer sind Malaysia, Thailand, Singapur und Deutschland.
Die Opfer erhielten angeblich eine E-Mail von einem Reporter der fiktiven australischen Medienagentur Morning News. Anerkennend, dass die Neuheit der Domänenregistrierung und das laienhafte Seitenlayout Verdacht erregen könnten, Einige der E-Mails gaben an, von einer Person zu stammen, die „versucht, eine Nachrichten-Website zu erstellen“ und nach einem Benutzer sucht Rückmeldung. Andere boten redaktionelle Positionen und Kooperationsanfragen an.
Jede E-Mail enthielt auch einen Link mit einem eindeutigen Tracking-Code, was bedeutet, dass die Gruppe leicht erkennen konnte, welches Ziel die Website besuchte.
Sobald die ScanBox-Malware auf der Website war, führte sie selektiv JavaScript-Nutzlasten aus, um das Opfer nicht zu warnen. Zu diesen Payloads gehörten Keylogger, Browser-Plugin-Informationen des Opfers, Browser-Fingerprinting und Plugins, um herauszufinden, ob der Antivirendienst Kaspersky Internet Security installiert ist.
Was ist Red Ladon und was sind seine Ziele?
Red Ladon ist ein in China ansässiger Bedrohungsakteur mit einem historischen Fokus auf das Südchinesische Meer. Red Ladon, auch bekannt als TA243, ist seit 2013 aktiv und wird von den australischen Behörden als staatlicher Akteur eingestuft. Zusätzlich zu den jüngsten Angriffen war Red Ladon in die Copy-Paste-Angriffe von 2020 auf australische Infrastrukturdienste verwickelt, nach Angaben der australischen Regierung. Typischerweise die Gruppe verwendet Phishing-Angriffe– sowie den Einsatz von Port-Scannern, um Schwachstellen in webbasierten Diensten zu identifizieren und auszunutzen.
Red Ladon scheint daran interessiert zu sein, Unternehmen und Länder zu kompromittieren, die an Energieinfrastrukturprojekten in China beteiligt sind, die China als seinen eigenen Hinterhof betrachtet. Frühere Ziele umfassen europäische Unternehmen, die am Bau von Windparks in der Straße von Taiwan beteiligt sind, und malaysische Unternehmen, die mit dem Gasprojekt Kasawari in Verbindung stehen.
Staatlich unterstützte Cyberangriffe werden nicht verschwinden
Der Angriff auf ein Unternehmen oder ein Land über das Internet ist ein risikoarmer Weg, um Ziele zu erreichen, die sonst nur durch militärische oder diplomatische Methoden erreicht werden könnten. Auch wenn Sie das vielleicht nicht so beunruhigt, wenn Sie auf einen Betrug hereinfallen, kann ein Angriff auf wichtige Infrastrukturen dennoch Ihr tägliches Leben beeinträchtigen.
