Políticos, fabricantes, compañías de medios y agencias gubernamentales han sido víctimas de un ciberataque sofisticado relacionado con China, que infectó sus computadoras con malware.
¿Entonces qué pasó? ¿Quién fue atacado por los ciberdelincuentes y cómo?
¿Quién fue atacado y cómo?
Según especialistas en ciberseguridad, Punto de prueba, un grupo, que se cree que es Red Ladon, registró el nombre de dominio "australianmorningnews (punto) com" en 8 de abril de 2022 y llenó el sitio con noticias plausibles copiadas de fuentes, incluida la BBC Noticias.
Los objetivos incluían empresas involucradas en la fabricación, suministro, mantenimiento y construcción de energía marina. proyectos, así como políticos australianos, agencias gubernamentales, instituciones académicas militares y atención médica pública cuerpos. Otros países objetivo incluyen Malasia, Tailandia, Singapur y Alemania.
Las víctimas recibieron un correo electrónico supuestamente de un reportero de la agencia de medios ficticia Australian Morning News. Reconociendo que la novedad del registro del dominio y el diseño amateur del sitio pueden despertar sospechas, algunos de los correos electrónicos decían ser de una persona, "tratando de hacer un sitio web de noticias", y buscando al usuario retroalimentación. Otros ofrecieron posiciones editoriales y solicitudes de cooperación.
Cada correo electrónico también contenía un enlace con un código de seguimiento único, lo que significa que el grupo podía identificar fácilmente qué objetivo visitó el sitio.
Una vez en el sitio web, el malware ScanBox ejecutó selectivamente cargas útiles de JavaScript de una manera que evitaría alertar a la víctima. Estas cargas útiles incluían keyloggers, información del complemento del navegador de la víctima, huellas dactilares del navegador y complementos para averiguar si el servicio antivirus, Kaspersky Internet Security, está instalado.
¿Qué es Red Ladon y cuáles son sus objetivos?
Red Ladon es un actor de amenazas con sede en China con un enfoque histórico en el Mar de China Meridional. También conocido como TA243, Red Ladon ha estado activo desde 2013 y las autoridades australianas lo clasifican como un actor estatal. Además de los ataques más recientes, Red Ladon estuvo implicado en los ataques de Copiar y Pegar de 2020 en los servicios de infraestructura de Australia, según el gobierno australiano. Normalmente, el grupo utiliza ataques de phishing—así como el empleo de escáneres de puertos para identificar y explotar vulnerabilidades en los servicios orientados a la web.
Red Ladon parece estar interesada en empresas y países comprometidos involucrados en proyectos de infraestructura energética en lo que China ve como su propio patio trasero. Los objetivos anteriores incluyen empresas europeas involucradas en la construcción de parques eólicos en el Estrecho de Taiwán y empresas de Malasia asociadas con el Proyecto de Gas Kasawari.
Los ataques cibernéticos respaldados por el estado no van a desaparecer
Atacar a una empresa o país a través de Internet es una forma de bajo riesgo de lograr objetivos que solo podrían lograrse a través de métodos militares o diplomáticos. Si bien eso puede no preocuparle de la misma manera que caer en una estafa, atacar la infraestructura clave puede afectar su vida cotidiana.
