Politiker, tillverkare, medieföretag och statliga myndigheter har fallit offer för en sofistikerad, Kina-länkad cyberattack, som infekterade deras datorer med skadlig programvara.
Så vad hände? Vem var måltavla av cyberbrottslingar och hur?
Vem blev attackerad och hur?
Enligt cybersäkerhetsspecialister, ProofPoint, en grupp, som tros vara Red Ladon, registrerade domännamnet "australianmorningnews (dot) com" på 8 april 2022, och befolkade webbplatsen med trovärdiga nyheter kopierade från källor inklusive BBC Nyheter.
Målen inkluderade företag som är involverade i tillverkning, leverans, underhåll och konstruktion av offshoreenergi projekt, såväl som australiensiska politiker, statliga myndigheter, militära akademiska institutioner och offentlig sjukvård kroppar. Andra riktade länder inkluderar Malaysia, Thailand, Singapore och Tyskland.
Offren fick ett e-postmeddelande från en reporter på den fiktiva mediebyrån Australian Morning News. Vi erkänner att det nya med domänregistreringen och den amatörmässiga webbplatslayouten kan väcka misstankar, några av e-postmeddelandena påstods vara från en person som "försöker skapa en nyhetswebbplats" och letar efter användare respons. Andra erbjöd redaktionstjänster och önskemål om samarbete.
Varje e-postmeddelande innehöll också en länk med en unik spårningskod, vilket innebar att gruppen enkelt kunde identifiera vilket mål som besökte webbplatsen.
Väl på webbplatsen körde ScanBox skadlig programvara selektivt JavaScript-nyttolaster på ett sätt som skulle undvika att tipsa offret. Dessa nyttolaster inkluderade keyloggers, information om plugin-program för offer, webbläsarfingeravtryck och plugins för att ta reda på om antivirustjänsten Kaspersky Internet Security är installerad.
Vad är Red Ladon och vad är dess syften?
Red Ladon är en Kina-baserad hotaktör med ett historiskt fokus på Sydkinesiska havet. Red Ladon, även känd som TA243, har varit aktiv sedan 2013, och klassas av de australiska myndigheterna som en statlig aktör. Utöver de senaste attackerna var Red Ladon inblandad i 2020 Copy-Paste-attackerna på australiensiska infrastrukturtjänster, enligt den australiensiska regeringen. Typiskt gruppen använder nätfiskeattacker— samt att använda portskannrar för att identifiera och utnyttja sårbarheter i webbvända tjänster.
Red Ladon verkar vara intresserad av att kompromissa med företag och länder som är involverade i energiinfrastrukturprojekt i vad Kina ser som sin egen bakgård. Tidigare mål inkluderar europeiska företag som är involverade i vindkraftsbyggen i Taiwansundet och malaysiska företag som är associerade med Kasawari Gas Project.
Statsstödda cyberattacker försvinner inte
Att attackera ett företag eller land över internet är ett lågrisk sätt att uppnå mål som bara annars skulle kunna uppnås genom militära eller diplomatiska metoder. Även om det kanske inte oroar dig på samma sätt som att falla för en bluff, kan attackera viktig infrastruktur ändå påverka din vardag.