Les chercheurs de Proofpoint en sécurité informatique ont été témoins de divers groupes de pirates informatiques parrainés par l'État ciblant des journalistes à des fins d'espionnage, diffusant des logiciels malveillants et infiltrant les réseaux d'organisations médiatiques.
Les journalistes et les médias sont des cibles attrayantes pour les cybercriminels. Les chercheurs de Proofpoint ont observé que les cybercriminels APT, en particulier ceux parrainés par ou affiliés à un État, usurpent régulièrement l'identité ou ciblent des journalistes ou des organisations médiatiques. Le secteur des médias et les personnes qui y travaillent peuvent ouvrir des portes qui restent fermées aux autres.
Attaques ciblées sur les comptes de messagerie des journalistes
Une attaque réussie et opportune contre le compte de messagerie d'un journaliste peut donner un aperçu d'histoires sensibles et (encore) non publiées et de l'identification de la source. Un compte compromis peut être utilisé pour diffuser de la désinformation ou de la propagande pro-étatique, diffuser de la désinformation en temps de guerre ou de pandémie, ou influencer une atmosphère politiquement chargée. Les utilisations les plus courantes des attaques de phishing ciblant les journalistes sont l'espionnage ou l'obtention d'un aperçu critique du fonctionnement interne d'un autre gouvernement, d'une entreprise ou d'un autre domaine d'intérêt gouvernemental.
Espionnage, désinformation, intérêts de l'État
Les données, sur lesquelles Proofpoint enquête depuis début 2021, montrent que les cybercriminels du monde entier tentent de cibler ou d'exploiter des journalistes et des personnalités des médias dans diverses campagnes, y compris celles programmées pour coïncider avec des événements politiques sensibles aux États-Unis. Certaines campagnes ont ciblé les médias pour obtenir un avantage concurrentiel en matière de renseignement, tandis que d'autres ont ciblé des journalistes qui dépeignaient un régime sous un mauvais jour ou diffusaient de la désinformation. Dans leur rapport, les experts de Proofpoint se concentrent sur les activités d'une poignée d'acteurs des menaces persistantes avancées (APT) qui, selon eux, sont liés aux intérêts étatiques de la Chine, de la Corée du Nord, de l'Iran et de la Turquie.
Résultats de l'expertise
- Les professionnels des médias sont une cible attrayante car ils ont un accès exclusif à des informations et à des informations sur des questions susceptibles d'affecter la sécurité de l'État.
- Les acteurs de l'APT ciblent régulièrement ou se font passer pour des journalistes et des organisations médiatiques pour poursuivre leurs campagnes soutenues par l'État.
- Les campagnes identifiées utilisaient diverses techniques, allant de l'utilisation de balises Web à l'envoi de logiciels malveillants, pour obtenir un accès initial au réseau de la personne ou de l'organisation ciblée.
- Il est peu probable que l'attention des APT sur les médias diminue, c'est pourquoi il est important que les journalistes se protègent eux-mêmes, leurs sources et l'intégrité de leurs informations.
- Les groupes APT, soutenus par la Chine, la Corée du Nord, l'Iran et la Turquie, ciblent les e-mails professionnels et les comptes de médias sociaux des journalistes pour obtenir des informations sensibles et un accès supplémentaire à leurs organisations.
- Divers cybercriminels affiliés à l'Iran tels que Charming Kitten (TA453) et Tortoiseshell (TA456) se sont fait passer pour des journalistes pour des publications telles que The Guardian, The Sun, Fox News et The Metro. Les attaques visaient des universitaires et des experts en politique étrangère du monde entier pour avoir accès à des informations sensibles.
- Le groupe allié à la Chine TA412 a intensifié ses activités quelques jours avant l'attaque du Capitole américain le 6 janvier 2021. Les chercheurs de Proofpoint ont observé une concentration du groupe sur les correspondants de Washington DC et de la Maison Blanche pendant cette période. Le même groupe a repris ses attaques au début de 2022, se concentrant sur les journalistes couvrant l'implication américaine et européenne dans la guerre de la Russie contre l'Ukraine.
- Le groupe nord-coréen Lazarus (TA404) a attaqué un média américain avec une campagne de phishing liée à des offres d'emploi. Cette attaque est survenue après que l'organisation a publié un article critiquant le dirigeant nord-coréen Kim Jong Un - un motif connu des actions des acteurs de l'APT alliés à la Corée du Nord.
- Les cybercriminels alliés à l'État turc ont concentré leurs efforts sur l'accès aux comptes des médias sociaux des journalistes, probablement dans le but de diffuser de la propagande pro-Erdogan et d'établir de nouveaux contacts.
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.