Politici, produttori, società di media e agenzie governative sono caduti vittime di un sofisticato attacco informatico legato alla Cina, che ha infettato i loro computer con malware.
Allora, cos'è successo? Chi è stato preso di mira dai criminali informatici e come?
Chi è stato attaccato e come?
Secondo gli specialisti della sicurezza informatica, Punto di prova, un gruppo, ritenuto essere Red Ladon, ha registrato il nome di dominio "australianmorningnews (dot) com" su 8 aprile 2022 e popolato il sito con notizie plausibili copiate da fonti tra cui la BBC Notizia.
Gli obiettivi includevano le imprese coinvolte nella produzione, fornitura, manutenzione e costruzione di energia offshore progetti, così come politici australiani, agenzie governative, istituzioni accademiche militari e sanità pubblica corpi. Altri paesi presi di mira includono Malesia, Tailandia, Singapore e Germania.
Le vittime hanno ricevuto un'e-mail presumibilmente da un giornalista della fittizia agenzia di media Australian Morning News. Riconoscendo che la novità della registrazione del dominio e il layout amatoriale del sito potrebbero destare sospetti, alcune delle e-mail affermavano di provenire da una persona, che "cercava di creare un sito Web di notizie" e cercava un utente feedback. Altri hanno offerto posizioni editoriali e richieste di collaborazione.
Ogni e-mail conteneva anche un collegamento con un codice di tracciamento univoco, il che significava che il gruppo poteva facilmente identificare quale target ha visitato il sito.
Una volta sul sito Web, il malware ScanBox ha eseguito in modo selettivo i payload JavaScript in modo da evitare di informare la vittima. Questi payload includevano keylogger, informazioni sul plug-in del browser della vittima, impronte digitali del browser e plug-in per scoprire se il servizio antivirus, Kaspersky Internet Security, è installato.
Che cos'è Red Ladon e quali sono i suoi obiettivi?
Red Ladon è un attore di minacce con sede in Cina con un focus storico sul Mar Cinese Meridionale. Conosciuto anche come TA243, Red Ladon è attivo dal 2013 ed è classificato dalle autorità australiane come attore statale. Oltre agli attacchi più recenti, Red Ladon è stato implicato negli attacchi Copy-Paste del 2020 ai servizi infrastrutturali australiani, secondo il governo australiano. Tipicamente, il gruppo utilizza attacchi di phishing—oltre all'impiego di port scanner per identificare e sfruttare le vulnerabilità nei servizi di accesso al Web.
Red Ladon sembra essere interessato a compromettere le aziende e i paesi coinvolti in progetti di infrastrutture energetiche in quello che la Cina vede come il proprio cortile. Tra gli obiettivi precedenti figurano le società europee coinvolte nella costruzione di parchi eolici nello Stretto di Taiwan e le società malesi associate al Kasawari Gas Project.
Gli attacchi informatici sostenuti dallo stato non stanno scomparendo
Attaccare un'azienda o un paese su Internet è un modo a basso rischio per raggiungere obiettivi che potrebbero essere raggiunti solo con metodi militari o diplomatici. Anche se ciò potrebbe non preoccuparti allo stesso modo in cui potrebbe cadere in una truffa, attaccare l'infrastruttura chiave può comunque influenzare la tua vita quotidiana.