Los investigadores de seguridad de TI de Proofpoint han sido testigos de varios grupos de piratas informáticos patrocinados por el estado que atacan a los periodistas para espiar, propagar malware e infiltrarse en las redes de organizaciones de medios.
Los periodistas y las organizaciones de medios son objetivos atractivos para los ciberdelincuentes. Los investigadores de Proofpoint han observado que los ciberdelincuentes de APT, en particular los patrocinados o afiliados a un estado, habitualmente se hacen pasar por periodistas u organizaciones de medios o se dirigen a ellos. El sector de los medios y las personas que trabajan allí pueden abrir puertas que permanecen cerradas para otros.
Ataques dirigidos a cuentas de correo electrónico de periodistas
Un ataque oportuno y exitoso a la cuenta de correo electrónico de un periodista puede proporcionar información sobre historias confidenciales (todavía) inéditas e identificación de fuentes. Una cuenta comprometida se puede usar para difundir desinformación o propaganda a favor del estado, entregar desinformación en tiempos de guerra o pandemia, o influir en una atmósfera políticamente cargada. Los usos más comunes de los ataques de phishing dirigidos a periodistas son para el espionaje o para obtener una visión crítica del funcionamiento interno de otro gobierno, corporación u otra área de interés del gobierno.
Espionaje, desinformación, intereses estatales
Los datos, que Proofpoint ha estado investigando desde principios de 2021, muestran que los ciberdelincuentes de todo el mundo intentan atacar o explotar a periodistas y personalidades de los medios en una variedad de campañas, incluidas aquellas programadas para coincidir con eventos políticos delicados en los Estados Unidos. Algunas campañas se han dirigido a los medios para obtener una ventaja competitiva de inteligencia, mientras que otras se han dirigido a los periodistas que informan para pintar mal un régimen o difundir desinformación. En su informe, los expertos de Proofpoint se centran en las actividades de un puñado de actores de Amenazas Persistentes Avanzadas (APT) que creen que están vinculados a los intereses estatales de China, Corea del Norte, Irán y Turquía.
Resultados de la investigación pericial
- Los profesionales de los medios son un objetivo atractivo porque tienen acceso exclusivo a información y conocimientos sobre temas que pueden afectar potencialmente la seguridad del estado.
- Los actores de APT rutinariamente apuntan o se hacen pasar por periodistas y organizaciones de medios para promover sus campañas respaldadas por el estado.
- Las campañas identificadas emplearon una variedad de técnicas, desde el uso de balizas web hasta el envío de malware, para obtener acceso inicial a la red de la persona u organización objetivo.
- Es poco probable que el enfoque de las APT en los medios disminuya alguna vez, por lo que es importante que los periodistas se protejan a sí mismos, a sus fuentes y a la integridad de su información.
- Los grupos APT, respaldados por China, Corea del Norte, Irán y Turquía, apuntan a los correos electrónicos de trabajo de los periodistas y las cuentas de redes sociales para obtener información confidencial y un mayor acceso a sus organizaciones.
- Varios ciberdelincuentes afiliados a Irán, como Charming Kitten (TA453) y Tortoiseshell (TA456), se han hecho pasar por periodistas para publicaciones como The Guardian, The Sun, Fox News y The Metro. Los ataques se dirigieron a académicos y expertos en política exterior de todo el mundo para obtener acceso a información confidencial.
- El grupo TA412, aliado de China, aumentó sus actividades solo unos días antes del ataque al Capitolio de los EE. UU. del 6 de enero de 2021. Los investigadores de Proofpoint observaron una concentración del grupo en los corresponsales de Washington DC y la Casa Blanca durante este período. El mismo grupo reanudó sus ataques a principios de 2022, centrándose en los reporteros que cubrían la participación de Estados Unidos y Europa en la guerra de Rusia contra Ucrania.
- El Grupo Lazarus de Corea del Norte (TA404) atacó a un medio de comunicación estadounidense con una campaña de phishing relacionada con ofertas de trabajo. Este ataque se produjo después de que la organización publicara un artículo en el que criticaba al líder norcoreano Kim Jong Un, un motivo conocido de las acciones de los actores de la APT aliados de Corea del Norte.
- Los ciberdelincuentes aliados con el estado turco han centrado sus esfuerzos en obtener acceso a las cuentas de los medios sociales de los periodistas, probablemente con el objetivo de difundir propaganda a favor de Erdogan y establecer más contactos.
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.