Os pesquisadores de segurança de TI da Proofpoint testemunharam vários grupos de hackers patrocinados pelo estado visando jornalistas para espionagem, espalhando malware e se infiltrando em redes de organizações de mídia.
Jornalistas e organizações de mídia são alvos atraentes para cibercriminosos. Os pesquisadores da Proofpoint observaram que os cibercriminosos da APT, particularmente aqueles patrocinados ou afiliados a um estado, rotineiramente se fazem passar por jornalistas ou organizações de mídia como alvo ou têm como alvo. O setor de mídia e as pessoas que trabalham nele podem abrir portas que permanecem fechadas para outros.
Ataques direcionados a contas de e-mail de jornalistas
Um ataque oportuno e bem-sucedido à conta de e-mail de um jornalista pode fornecer informações sobre histórias confidenciais (ainda) não publicadas e identificação da fonte. Uma conta comprometida pode ser usada para espalhar desinformação ou propaganda pró-estado, fornecer desinformação em tempos de guerra ou pandemia ou influenciar uma atmosfera politicamente carregada. Os usos mais comuns de ataques de phishing direcionados a jornalistas são para espionagem ou para obter informações críticas sobre o funcionamento interno de outro governo, corporação ou outra área de interesse do governo.
Espionagem, desinformação, interesses do Estado
Os dados, que a Proofpoint tem investigado desde o início de 2021, mostram que cibercriminosos em todo o mundo estão tentando atingir ou explorar jornalistas e personalidades da mídia em uma variedade de campanhas, incluindo aquelas programadas para coincidir com eventos políticos delicados nos Estados Unidos. Algumas campanhas têm como alvo a mídia para obter uma vantagem competitiva de inteligência, enquanto outras têm como alvo jornalistas que fazem reportagens para pintar um regime de forma negativa ou espalhar desinformação. Em seu relatório, os especialistas da Proofpoint se concentram nas atividades de um punhado de atores de Ameaças Persistentes Avançadas (APT) que eles acreditam estar ligados aos interesses estatais da China, Coreia do Norte, Irã e Turquia.
Resultados da perícia
- Profissionais de mídia são um alvo atraente porque têm acesso exclusivo a informações e insights sobre questões que podem afetar a segurança do Estado.
- Os atores da APT rotineiramente visam ou se fazem passar por jornalistas e organizações de mídia para promover suas campanhas apoiadas pelo estado.
- As campanhas identificadas empregaram uma variedade de técnicas, desde o uso de web beacons até o envio de malware, para obter acesso inicial à rede da pessoa ou organização alvo.
- É improvável que o foco dos APTs na mídia diminua, e é por isso que é importante que os jornalistas protejam a si mesmos, suas fontes e a integridade de suas informações.
- Grupos APT, apoiados por China, Coreia do Norte, Irã e Turquia, têm como alvo e-mails de trabalho de jornalistas e contas de mídia social em busca de informações confidenciais e acesso adicional fornecido por suas organizações.
- Vários cibercriminosos afiliados ao Irã, como Charming Kitten (TA453) e Tortoiseshell (TA456), posaram como jornalistas para publicações como The Guardian, The Sun, Fox News e The Metro. Os ataques visaram acadêmicos e especialistas em política externa em todo o mundo para obter acesso a informações confidenciais.
- O grupo aliado da China TA412 aumentou suas atividades poucos dias antes do ataque ao Capitólio dos EUA em 6 de janeiro de 2021. Os pesquisadores da Proofpoint observaram uma concentração do grupo em Washington DC e nos correspondentes da Casa Branca durante esse período. O mesmo grupo retomou seus ataques no início de 2022, concentrando-se em repórteres que cobriam o envolvimento dos EUA e da Europa na guerra da Rússia contra a Ucrânia.
- O norte-coreano Lazarus Group (TA404) atacou um meio de comunicação dos EUA com uma campanha de phishing relacionada a vagas de emprego. Este ataque ocorreu depois que a organização publicou um artigo criticando o líder norte-coreano Kim Jong Un - um motivo conhecido para ações de atores do APT aliados da Coréia do Norte.
- Criminosos cibernéticos aliados ao Estado turco concentraram seus esforços em obter acesso às contas de mídia social de jornalistas, provavelmente com o objetivo de espalhar propaganda pró-Erdogan e estabelecer novos contatos.
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.