Des politiciens, des fabricants, des entreprises de médias et des agences gouvernementales ont été victimes d'une cyberattaque sophistiquée liée à la Chine, qui a infecté leurs ordinateurs avec des logiciels malveillants.
Alors, qu'est-ce-qu'il s'est passé? Qui a été ciblé par les cybercriminels et comment ?
Qui a été attaqué et comment ?
Selon les spécialistes de la cybersécurité, ProofPoint, un groupe, supposé être Red Ladon, a enregistré le nom de domaine "australianmorningnews (dot) com" sur 8 avril 2022 et a rempli le site avec des actualités plausibles copiées à partir de sources telles que la BBC Nouvelles.
Les cibles comprenaient des entreprises impliquées dans la fabrication, la fourniture, la maintenance et la construction d'énergie offshore projets, ainsi que des politiciens australiens, des agences gouvernementales, des institutions universitaires militaires et des soins de santé publics corps. Les autres pays ciblés sont la Malaisie, la Thaïlande, Singapour et l'Allemagne.
Les victimes ont reçu un e-mail soi-disant d'un journaliste de l'agence médiatique fictive Australian Morning News. Reconnaissant que la nouveauté de l'enregistrement du domaine et la mise en page amateur du site pourraient éveiller les soupçons, certains des e-mails prétendaient provenir d'une personne "essayant de créer un site Web d'actualités" et recherchant un utilisateur retour d'information. D'autres ont proposé des positions éditoriales et des demandes de coopération.
Chaque e-mail contenait également un lien avec un code de suivi unique, ce qui signifie que le groupe pouvait facilement identifier quelle cible visitait le site.
Une fois sur le site Web, le logiciel malveillant ScanBox a exécuté de manière sélective les charges utiles JavaScript de manière à éviter d'avertir la victime. Ces charges utiles comprenaient des enregistreurs de frappe, les informations sur le plug-in du navigateur victime, les empreintes digitales du navigateur et les plug-ins pour savoir si le service antivirus, Kaspersky Internet Security, est installé.
Qu'est-ce que Red Ladon et quels sont ses objectifs ?
Red Ladon est un acteur de la menace basé en Chine avec un accent historique sur la mer de Chine méridionale. Également connu sous le nom de TA243, Red Ladon est actif depuis 2013 et est classé par les autorités australiennes comme un acteur étatique. En plus des attaques les plus récentes, Red Ladon a été impliqué dans les attaques de copier-coller de 2020 contre les services d'infrastructure australiens, selon le gouvernement australien. Typiquement, le groupe utilise des attaques de phishing– ainsi que l'utilisation de scanners de ports pour identifier et exploiter les vulnérabilités des services Web.
Red Ladon semble vouloir compromettre les entreprises et les pays impliqués dans des projets d'infrastructure énergétique dans ce que la Chine considère comme sa propre arrière-cour. Les cibles précédentes incluent des entreprises européennes impliquées dans la construction de parcs éoliens dans le détroit de Taiwan et des entreprises malaisiennes associées au projet gazier de Kasawari.
Les cyberattaques soutenues par l'État ne disparaissent pas
Attaquer une entreprise ou un pays sur Internet est un moyen peu risqué d'atteindre des objectifs qui ne pourraient autrement être atteints que par des méthodes militaires ou diplomatiques. Bien que cela ne vous inquiète peut-être pas de la même manière que tomber dans le piège d'une escroquerie, attaquer une infrastructure clé peut néanmoins affecter votre vie quotidienne.