Китайские хакеры атакуют компании и государственные учреждения, связанные с ветряными электростанциями. Узнайте зачем

Эта группа под названием TA423/Red Ladon с 2013 года атакует аккаунты оборонных подрядчиков, производителей, университеты, правительственные агентства и компании, связанные с регионом Южно-Китайского моря или Австралией. Ранее она попадала под обвинительное заключение Министерства юстиции США.

С апреля по июнь 2022 года кибершпионаж проводился путём рассылок электронных писем с адресов Gmail или Outlook, вероятно, созданных хакерской группой, с такими заголовками, как «Больничный лист», «Исследование пользователя» и «Запрос о сотрудничестве».

Согласно исследованиям компаний Proofpoint и PwC Threat Intelligence, электронное письмо было от «скромного новостного сайта» и целью рассылки было получить обратную связь по ссылке на фальшивое новостное издание под названием Australian Morning News. Пользователи, перешедшие по ссылке на веб-страницу, получали вредоносное ПО.

«Кампания имеет международный охват, но основное внимание уделяется Азиатско-Тихоокеанскому региону, австралийским правительственным структурам, а также компаниям, работающим в странах Южно-Китайского моря», — сообщили исследователи.

«В частности, по наблюдениям Proofpoint, TA423/Red Ladon нацеливался на организации, непосредственно связанные с проектами развития в Южно-Китайском море, в период напряжённых отношений между Китаем и другими странами, связанных с проектами развития, имеющими большое стратегическое значение, такими как газовое месторождение Касавари, разрабатываемое Малайзией, и морская ветряная электростанция в Тайваньском проливе».

Широкий спектр целей

Эксперты говорят, что группа повторила ту же тактику во время выборов в Камбодже в 2018 году и в сентябре 2021 года.

«[С июня 2021 года по май 2022 года] австралийские цели регулярно включали военные академические учреждения, а также местные и федеральные органы власти, оборонный сектор и здравоохранение».

«Среди малазийских целей были организации, занимающиеся морским бурением и глубоководной разведкой энергоресурсов, а также глобальные маркетинговые и финансовые компании. Целями также стали несколько крупных компаний, которые, по-видимому, связаны с глобальными цепочками поставок для проектов по добыче морской энергии в Южно-Китайском море».

Среди них предприятия тяжёлой промышленности, производители компонентов для установки ветряных турбин, экспортёры энергии, крупные консалтинговые фирмы, предоставляющие консультации по проектам, и строительные компании.

«Этот субъект угроз демонстрирует последовательную нацеленность на организации, связанные с разведкой энергоресурсов в Южно-Китайском море, наряду с внутренними целями Австралии, включая оборону и здравоохранение».

Австралийские сенаторы Саймон Бирмингем и Джеймс Патерсон, который также является замминистра по кибербезопасности, отреагировали на инцидент, заявив, что он представляет собой «значительную угрозу» для местных учреждений.

«Мы призываем правительство дать чёткие рекомендации австралийским частным лицам и предприятиям о том, как они могут защитить себя от такого рода вредоносной кибер-активности, которая может нанести серьёзный ущерб нашей национальной безопасности», — говорится в их заявлении.

«На рассмотрение должны быть вынесены все варианты, включая использование специально разработанных „киберсанкций“, которые содержатся в австралийском автономном санкционном режиме Магнитского, чтобы не допускать подобных действий».

Дэниел Ю. Тен, репортёр из Сиднея, освещает отношения между Австралией и Китаем.