Дослідники IT-безпеки Proofpoint стали свідками різних фінансованих державою хакерських груп, які націлювали журналістів на шпигунство, розповсюджували зловмисне програмне забезпечення та проникали в мережі ЗМІ.
Журналісти та ЗМІ є привабливими мішенями для кіберзлочинців. Дослідники Proofpoint помітили, що кіберзлочинці APT, особливо спонсоровані державою або пов’язані з нею, регулярно видають себе за журналістів або медіа-організації або нападають на них. Сектор ЗМІ та люди, які там працюють, можуть відкрити двері, які залишаються закритими для інших.
Цілеспрямовані атаки на електронні листи журналістів
Своєчасна успішна атака на обліковий запис електронної пошти журналіста може дати розуміння конфіденційних, (ще) неопублікованих історій та ідентифікувати джерело. Зламаний обліковий запис можна використовувати для поширення дезінформації чи продержавної пропаганди, поширення дезінформації під час війни чи пандемії або впливу на політично напружену атмосферу. Фішингові атаки, націлені на журналістів, найчастіше використовують для шпигунства або для отримання критичного розуміння внутрішньої роботи іншого уряду, корпорації чи іншої сфери, що стосується уряду.
Шпигунство, дезінформація, державні інтереси
Дані, які Proofpoint досліджує з початку 2021 року, показують, що кіберзлочинці в усьому світі намагаються націлитися на журналістів і медіа-персон або використовувати їх у різноманітних кампаніях, зокрема тих, які приурочені до чутливих політичних подій у Сполучених Штатах. Деякі кампанії були націлені на засоби масової інформації, щоб отримати конкурентну перевагу в розвідці, тоді як інші були націлені на журналістів, які зображали режим у поганому світлі або поширювали дезінформацію. У своїй доповіді експерти Proofpoint зосереджуються на діяльності кількох учасників Advanced Persistent Threats (APT), які, на їхню думку, пов’язані з державними інтересами Китаю, Північної Кореї, Ірану та Туреччини.
Результати експертного дослідження
- Медіа-професіонали є привабливою ціллю, оскільки вони мають ексклюзивний доступ до інформації та розуміння проблем, які потенційно можуть вплинути на безпеку держави.
- Актори APT регулярно націлюються на журналістів і медіа-організації або видають себе за них, щоб просувати свої кампанії, підтримувані державою.
- Виявлені кампанії використовували різні методи, від використання веб-маяків до надсилання шкідливих програм, щоб отримати початковий доступ до мережі цільової особи або організації.
- Навряд чи коли-небудь зменшиться увага АПТ до ЗМІ, тому для журналістів важливо захищати себе, свої джерела та цілісність своєї інформації.
- Групи APT за підтримки Китаю, Північної Кореї, Ірану та Туреччини націлюються на робочу електронну пошту та облікові записи в соціальних мережах журналістів для отримання конфіденційної інформації та подальшого доступу до їхніх організацій.
- Різноманітні кіберзлочинці, афілійовані з Іраном, такі як Charming Kitten (TA453) і Tortoiseshell (TA456), позували журналістами для таких видань, як The Guardian, The Sun, Fox News і The Metro. Ці атаки були спрямовані на вчених і експертів із зовнішньої політики по всьому світу, щоб отримати доступ до конфіденційної інформації.
- Союзна з Китаєм група TA412 збільшила свою активність лише за кілька днів до атаки на Капітолій США 6 січня 2021 р. Дослідники Proofpoint помітили концентрацію групи на кореспондентах Вашингтона та Білого дому протягом цього періоду. Ця ж група відновила свої атаки на початку 2022 року, зосередившись на журналістах, які висвітлювали участь США та Європи у війні Росії проти України.
- Північнокорейська група Lazarus Group (TA404) атакувала американське ЗМІ за допомогою фішингової кампанії, пов’язаної з вакансіями. Ця атака сталася після того, як організація опублікувала статтю з критикою лідера Північної Кореї Кім Чен Ина – відомий мотив дій союзників Північної Кореї APT.
- Кіберзлочинці, пов’язані з турецькою державою, зосередили свої зусилля на отриманні доступу до акаунтів журналістів у соціальних мережах, ймовірно, з метою поширення проердоганівської пропаганди та встановлення подальших контактів.
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.