Los últimos 18 meses han visto una serie de campañas cibernéticas sostenidas y en curso por parte de actores de amenazas alineados con el estado que apuntan a periodistas y organizaciones de medios de todo el mundo, que no muestran signos de disminuir, según la firma de seguridad Proofpoint.
El equipo de investigación de la empresa publicó hoy (14 de julio) un nuevo análisis que revela cómo los grupos de amenazas persistentes avanzadas (APT) con vínculos con China, Irán, Corea del Norte, Rusia y Turquía han estado apuntando y haciéndose pasar por periodistas para avanzar en sus objetivos.
Si bien el sector de los medios es vulnerable exactamente a las mismas amenazas cibernéticas que cualquier otro (ataques de ransomware, etc.), los grupos APT lo atacan con propósitos ligeramente diferentes, lo que podría tener un impacto de gran alcance en la vida de millones de personas, por lo que es extremadamente importante para organizaciones de medios y periodistas para protegerse a sí mismos, a sus fuentes y a la integridad de la información que poseen.
El sector es particularmente valorado por los actores APT respaldados por el estado por varias razones, principalmente porque los periodistas, si se ven comprometidos, pueden proporcionar acceso e información que podría resultar muy valioso.
Más comúnmente, dijo Proofpoint, los ataques cibernéticos a periodistas se usan para espionaje o para obtener información sobre el funcionamiento interno de los gobiernos u organizaciones de interés para los atacantes.
Un ataque oportuno y exitoso a la cuenta de correo electrónico de un periodista también podría proporcionar datos sobre historias políticas que podrían ser perjudiciales para los pagadores de la APT, o permitirles identificar y exponer a activistas, disidentes políticos o denunciantes.
Las cuentas comprometidas también se pueden usar para difundir desinformación o propaganda sobre historias que son potencialmente dañinas para el régimen, como la persecución de China de su minoría musulmana en Xinjiang o la derogación de sus compromisos con la democracia en Hong Kong.
“En una era de dependencia digital, los medios, como el resto de nosotros, son vulnerables a una variedad de amenazas cibernéticas”, dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas de Proofpoint.
“Algunos de los más potencialmente impactantes son los que se derivan de los actores de APT. Desde la actividad de reconocimiento antes de los disturbios del 6 de enero de 2021 hasta la recolección de credenciales y la entrega de malware, Proofpoint está revelando por primera vez alguna actividad APT específica dirigida o haciéndose pasar por miembros de los medios”.
Los investigadores de Proofpoint se centraron en las actividades de un puñado de actores de APT vinculados a los regímenes de China, Corea del Norte, Irán y Turquía.
Su informe revela cómo el APT TA412 (también conocido como Zirconium) respaldado por China apuntó a periodistas con sede en EE. UU. utilizando correos electrónicos maliciosos que contenían balizas web/píxeles de seguimiento: objetos no visibles con hipervínculos en el cuerpo de un correo electrónico que, cuando está habilitado, intenta recuperar una imagen benigna. archivo de un servidor controlado por actor.
Esta campaña probablemente tenía como objetivo validar que sus cuentas de correo electrónico específicas estén activas y recopilar información sobre los entornos de red de los destinatarios, como direcciones IP visibles externamente, cadenas de agentes de usuario y direcciones de correo electrónico.
La naturaleza de esta campaña cambió a lo largo de su duración, con señuelos que cambiaban constantemente para adaptarse al entorno político actual en los EE. UU., mientras que TA412 también cambió su lista de objetivos según lo que le interesaba al gobierno chino en ese momento.
En particular, entre enero y febrero de 2021, TA412 se centró en periodistas que cubrían la política y la seguridad nacional de EE. UU.
Inmediatamente antes de la insurrección del 6 de enero de 2021, se produjo un cambio muy abrupto en la focalización que vio a una mafia pro-Trump asaltar el Capitolio en Washington DC en un intento de detener la certificación de Joe Biden y cambiar el resultado de las elecciones de 2020, cuando comenzó TA412. para mostrar un interés particular en los corresponsales de Washington y la Casa Blanca específicamente, utilizando líneas de asunto extraídas de artículos de noticias relevantes como señuelos.
Mientras tanto, el equipo de Proofpoint observó varias APT alineadas con Irán que usaban periodistas y periódicos como pretextos para vigilar objetivos e intentar robar sus credenciales. Probablemente el más activo sea TA453 (también conocido como Charming Kitten), que se cree que está alineado con la operación de inteligencia del Cuerpo de la Guardia Revolucionaria Islámica de Irán.
Se observó a TA453 haciéndose pasar por periodistas de todo el mundo para entablar conversaciones aparentemente benignas con sus objetivos, incluidos académicos y expertos en asuntos de Medio Oriente. Estas personalidades de los periodistas, y sus objetivos, fueron bien investigados para aumentar la probabilidad de que se creyera en sus enfoques, halagos y engaños.
Durante su conversación con el periodista falso, el objetivo normalmente recibía un archivo PDF benigno, generalmente entregado desde un servicio de alojamiento de archivos legítimo, que contenía un enlace a un acortador de URL y un rastreador de IP, y redirigía al objetivo a un dominio de recolección de credenciales controlado. por TA453.
También se observó a un segundo actor iraní, TA456 (también conocido como Tortoiseshell), disfrazado de varias organizaciones de noticias, incluidas Fox News y The guardián, para difundir balizas web, similar al grupo chino, probablemente para realizar un reconocimiento antes de intentar entregar malware, mientras que una tercera operación, rastreada como TA457, se hizo pasar por un “reportero de iNews” para apuntar al personal interno de relaciones públicas en empresas en Israel, Arabia Saudita Arabia y los EE. UU., utilizando como señuelo el asunto “Guerra cibernética de Irán”. Proofpoint detectó esta campaña en particular cuando TA457 se dirigió a varios de sus clientes.
Lázaro ha entrado en el chat.
En el caso de Corea del Norte, quizás no sea una sorpresa ver a TA404, más conocido como Lazarus, involucrado en apuntar al sector de los medios.
En un incidente observado por el equipo de Proofpoint, Lazarus apuntó a una organización de medios de EE. UU. que había publicado un artículo crítico con el dictador norcoreano Kim Jong Un, un acto que con frecuencia hace que las APT de Corea del Norte tomen medidas. La campaña comenzó con phishing de reconocimiento, utilizando URL personalizadas para sus objetivos, disfrazadas como una oportunidad de trabajo, una táctica favorita de Lazarus.
Si el objetivo interactuaba con la URL, el servidor que resolvía el dominio recibía la confirmación de que se entregó el correo electrónico y se interactuó con él, junto con información de identificación sobre el dispositivo del objetivo.
Proofpoint dijo que no había visto ningún correo electrónico de seguimiento en esta campaña, pero dada la afición bien documentada de Lazarus por el malware, es probable que hayan intentado entregar algunos eventualmente.
En el caso de Turquía, que como país de la OTAN normalmente no se considera un estado hostil, aunque se ha inclinado hacia el autoritarismo, se ha observado regularmente una APT rastreada como TA482 atacando las cuentas de redes sociales de periodistas en una campaña de robo de credenciales.
TA482 no está definitivamente vinculado al gobierno turco, pero utiliza servicios basados en el país para alojar sus dominios e infraestructura, y Turquía tiene un historial de explotación de las redes sociales para difundir propaganda favorable a su presidente de línea dura, Recep Tayyip Erdogan, y al gobernante. partido, por lo que es muy probable que esté alineado con el estado.
En una campaña TA482 observada este año, el grupo apuntó a las credenciales de Twitter de varios periodistas en medios de comunicación conocidos y menos destacados. Sus señuelos tenían como tema las alertas de seguridad de Twitter relacionadas, irónicamente, con un inicio de sesión sospechoso en su cuenta. Al hacer clic en el enlace del correo electrónico, se envía a su objetivo a una página de destino controlada por TA482 que se hace pasar por la función de restablecimiento de contraseña de Twitter.
Proofpoint dijo que no necesariamente podía verificar la motivación detrás de esta campaña, pero según lo que se sabe de la escena APT de Turquía, que no es una de las más destacadas del mundo, es probable que TA482 intente obtener acceso a los contactos de los periodistas a través de sus mensajes directos o secuestrar el cuentas para desfigurarlas y difundir propaganda a favor de Erdogan antes de las elecciones parlamentarias y presidenciales que se celebrarán en 2023.
Blancos blandos
El equipo de investigación de Proofpoint dijo que estaba seguro de que las APT de los estados-nación seguirán apuntando a periodistas y organizaciones de medios, independientemente de su afiliación, porque su utilidad en términos de abrir puertas a otros objetivos no tiene paralelo.
Además, es probable que muchos hayan prestado menos atención a la seguridad cibernética que, por ejemplo, una entidad gubernamental con defensas reforzadas, por lo que es menos probable que se descubran las APT dirigidas a periodistas.
En efecto, los ataques a periodistas y medios de comunicación son algo parecidos a los ataques a la cadena de suministro, como los que causaron estragos entre los clientes de Kaseya y SolarWinds en los últimos dos años.
Como demuestra la investigación del equipo, debido a que se utilizan tantos enfoques diferentes, es vital que aquellos que operan en el espacio de los medios permanezcan atentos.
“Evaluar el nivel de riesgo personal de uno puede darle a un individuo una buena idea de las probabilidades de que termine como un objetivo”, escribió el equipo en su resumen.
“Si informa sobre China o Corea del Norte o los actores de amenazas asociados, puede convertirse en parte de sus requisitos de recopilación en el futuro.
“Ser consciente de la amplia superficie de ataque (todas las variadas plataformas en línea utilizadas para compartir información y noticias) que un actor de APT puede aprovechar también es clave para evitar convertirse en una víctima.
“Y, en última instancia, tener cuidado y verificar la identidad o la fuente de un correo electrónico puede detener un ataque APT en su etapa inicial”.
El artículo completo de Proofpoint, que incluye múltiples capturas de pantalla extraídas de algunas de sus campañas observadas, se puede encontrar aquí.
