Hackers focam em jornalistas e organizações de mídia de notícia. A informação vem de pesquisadores que seguem as atividades de grupos de ameaças persistentes avançadas (APT) originários da China, Coreia do Norte, Irã e Turquia que alegam que esses atores de ameça estariam alinhados ao Estado.
Os cibercriminosos estão atacando esses alvos porque têm acesso exclusivo a informações não públicas que podem ajudar a expandir uma operação de ciberespionagem.
Jornalistas e organizações de mídia de notícia são alvos de hackers
Os analistas da Proofpoint acompanham essas atividades de 2021 a 2022 e publicaram um relatório sobre vários grupos de APT se passando por jornalistas ou visando jornalistas.
O agente de ameaças ligado à China conhecido como Zirconium (TA412) estariam por trás dos ataques a jornalistas americanos desde o início de 2021 com e-mails contendo rastreadores que alertavam quando as mensagens eram acessadas. Além disso, esse truque simples também permitiu que o agente da ameaça obtivesse o endereço IP público do alvo do qual eles poderiam coletar mais informações, como a localização da vítima e o provedor de serviços de Internet (ISP).
O Bleeping Computer aponta que, em fevereiro de 2022, a Zircônio retomou as campanhas direcionadas a jornalistas com as mesmas táticas, concentrando-se principalmente nas reportagens sobre a guerra Rússia-Ucrânia. Em abril de 2022, a Proofpoint observou outro grupo chinês APT rastreado como TA459 visando repórteres com arquivos RTF que descartaram uma cópia do malware Chinoxy quando aberto. Este grupo visava a mídia interessada em política externa no Afeganistão, revela o relatório.
Hackers norte-coreanos do grupo TA404 também foram vistos mirando pessoal da mídia durante no início de 2022, usando postagens de emprego falsas como isca. Além disso, atores de ameaças turcos rastreados como TA482 orquestraram campanhas de coleta de credenciais que tentaram roubar as contas de mídia social dos jornalistas.
Personificação de jornalistas
No entanto, nem todos os hackers se esforçam para comprometer as contas dos jornalistas. Em vez disso, alguns cortam os cantos e vão direto para assumir “identidades” de repórter para alcançar seus alvos diretamente.
A Proofpoint viu essa tática principalmente de atores iranianos como TA453 (também conhecido como Charming Kitten), que enviou e-mails para acadêmicos e especialistas em políticas do Oriente Médio se passando por repórteres.
Outro exemplo é o TA456 (também conhecido como Tortoiseshell), que também disfarça seus e-mails como boletins do Guardian ou da Fox News, esperando uma entrega bem-sucedida de malware ao alvo.
Por fim, a Proofpoint destaca a atividade dos hackers iranianos TA457, que, entre setembro de 2021 e março de 2022, lançaram campanhas de segmentação de mídia a cada duas ou três semanas.
Espera-se que os APTs continuem visando jornalistas usando truques de phishing, droppers de malware e várias táticas de engenharia social. Infelizmente, as organizações de mídia e seus funcionários estão abertos ao público e podem se tornar vítimas de engenharia social que pode comprometer seu acesso a informações confidenciais.
