Chińscy cyberszpiedzy wspierani przez państwo atakowali systemy komputerowe rządu australijskiego, firmy medialne, agencje obrony i zdrowia przez trzy miesiące w tym roku, szukając poufnych informacji obronnych, marynarki wojennej i energii związanych z Morzem Południowochińskim.
Wykorzystując wybory federalne w 2022 r. jako przynętę, szpiedzy – rzekomo mający powiązania z chińskim Ministerstwem Bezpieczeństwa Państwowego – założyli fałszywe australijskie media, wykorzystując sklonowane historie wyborcze pochodzące z legalnych organizacji medialnych.
Następnie za pomocą e-maili phishingowych zbombardowano skrzynki odbiorcze osób pracujących dla federalnych i lokalnych agencji rządowych, instytucji akademickich zajmujących się obroną, agencji obrony i zdrowia oraz australijskich firm zajmujących się wytwarzaniem energii na Morzu Południowochińskim.
E-maile zachęcały ludzi do odwiedzenia „skromnego” nowego punktu medialnego „Australian Morning News”, który zawierał zdjęcia, historie i nagłówki bezpośrednio skopiowane z głównych mediów.
Strona była fałszywa i została stworzona, aby skłonić niczego niepodejrzewających czytelników do kliknięcia łącza, które mogłoby zainfekować ich komputer złośliwym oprogramowaniem i dać cyberszpiegom dostęp do ich danych.
Amerykańska firma zajmująca się cyberbezpieczeństwem Proofpoint, współpracująca z PwC Threat Intelligence, zidentyfikowała grupę jako Red Ladon lub TA423.
Grupa ściśle pokrywa się z grupą APT (Advanced Persistent Threat) 40, znaną również jako Lewiatan, tę samą grupę, którą w zeszłym roku amerykański akt oskarżenia oskarżył o współpracę z Ministerstwem Bezpieczeństwa Państwowego prowincji Hainan.
Według raportu Proofpoint i PwC, Red Ladon był szczególnie aktywny od kwietnia do czerwca, atakując firmy i agencje zaangażowane w operacje i łańcuchy dostaw producentów energii na Morzu Południowochińskim, atakując Europę, Malezję i Australię.
Odzwierciedlało to atak z zeszłego roku, w którym prawdopodobnie ta sama grupa chińskich rządowych cyberszpiegów wysłała złośliwe e-maile podszywające się pod szereg australijskich firm medialnych, głównie The Australian i Herald Sun, aby spróbować uzyskać dostęp do komputerów osób pracujących w wrażliwych branżach. Wiadomości phishingowe zawierały szkodliwe oprogramowanie ScanBox, które próbowało przedostać się do rządowych i obronnych systemów informatycznych oraz uzyskać dostęp do przechowywanych tam informacji. Może to obejmować wszystko, z jakiego języka używał komputer ofiary i jakie strony odwiedzali wcześniej użytkownicy, aby pokazać hakerom inne obszary, które mogą zostać zhakowane później. Sherrod DeGrippo, wiceprezes ds. badań i wykrywania zagrożeń w Proofpoint, powiedziała, że TA423 jest jednym z najbardziej konsekwentnych zaawansowanych i uporczywych cyberprzestępców na świecie. „Wspierają chiński rząd w sprawach związanych z Morzem Południowochińskim, w tym podczas ostatnich napięć na Tajwanie” – powiedziała DeGrippo.
