Las organizaciones de medios y los periodistas están sujetos a una amplia gama de amenazas a lo largo de sus carreras que enfrentan todos los demás individuos. 

Ha habido muchos informes en los últimos años sobre periodistas y organizaciones de medios que están siendo atacados por actores alineados con el estado que están involucrados en los grupos de amenaza APT que se originan en los siguientes países:

  • Porcelana
  • Corea del Norte
  • Irán
  • Pavo

Los actores de amenazas apuntan a todos estos objetivos ya que tienen acceso a información no pública a su disposición. Los actores de amenazas pueden extender e impulsar sus operaciones ilícitas de ciberespionaje con la ayuda de esta oportunidad.

actividad ilícita

Hay varios grupos de APT que se hacen pasar por periodistas o se dirigen a ellos en la actualidad, y los analistas de Proofpoint han estado rastreando estas actividades desde 2021 hasta 2022.

Desde principios de 2021, ha habido un caso confirmado de un periodista estadounidense que fue blanco de una amenaza cibernética conocida como ‘Zirconium’ (TA412) que, según se informa, está vinculada a China. Sus correos electrónicos contenían rastreadores, que les alertaban si se veía un mensaje, y usaron estas herramientas para rastrearlos.

El actor de amenazas también obtuvo la dirección IP pública del objetivo como resultado de este simple truco. Esta información les permitiría obtener más información sobre la víctima, incluida la ubicación de la víctima y el ISP.

Las cuentas de correo electrónico de los periodistas fueron atacadas

Las personas que trabajan en el sector de los medios tienen acceso a muchas oportunidades que pueden no estar disponibles para otros sectores de la economía. Es posible obtener información confidencial de la cuenta de correo electrónico de un periodista si un ataque es oportuno y exitoso.

Durante el curso de la recopilación de información, los periodistas a menudo interactúan con varios tipos de entidades y partidos como:

  • partes externas
  • Partidos extranjeros
  • Fiestas semianónimas

Como resultado de esto, los periodistas corren un mayor riesgo de ser phishing y estafados, ya que casi siempre se comunican con destinatarios desconocidos más que la persona promedio.

Los actores de amenazas pueden ofrecer un punto de entrada para ataques en etapas posteriores si pueden verificar u obtener acceso a dichas cuentas y usarlas para obtener acceso a otras redes también.

Dado que el propósito de estas campañas es verificar los correos electrónicos dirigidos que están activos y comprender las redes del destinatario, se han diseñado para validar la eficacia de los correos electrónicos dirigidos. 

Las balizas web pueden proporcionar los siguientes artefactos técnicos a un atacante, que pueden ser utilizados por el actor de amenazas con fines de reconocimiento a medida que se planifica la próxima etapa del ataque:

  • Direcciones IP visibles externamente
  • Cadena de agente de usuario
  • Dirección de correo electrónico 
  • Validación de que la cuenta de usuario objetivo está activa

Grupos involucrados

Zirconium empleó las mismas tácticas nuevamente en febrero de 2022, con un enfoque en los periodistas que cubrían el conflicto entre Rusia y Ucrania como objetivo.

A continuación, hemos mencionado todos los grupos involucrados:

  • TA412 (Zirconio)
  • TA459
  • TA404
  • TA482
  • TA453 (Gatito encantador)
  • TA456 (Concha de tortuga)
  • TA457

Proofpoint observó el grupo TA459 en abril de 2022 como parte de su análisis continuo de la amenaza APT china. Según los informes, el malware Chinoxy estaba incrustado en archivos RTF que se enviaban a los periodistas. Si bien esto podría ser explotado por los reporteros por medio del malware Chinoxy incrustado en los archivos RTF.

También se observó a los piratas informáticos asociados con el grupo TA404 de Corea del Norte haciéndose pasar por periodistas utilizando anuncios de trabajo falsos en la primavera de 2022.

Como parte de TA482, los actores de amenazas turcos organizaron campañas destinadas a recolectar credenciales de las cuentas de redes sociales de los periodistas que intentaron robar sus credenciales.

En el futuro, se espera que las APT continúen atacando a los periodistas con diversas técnicas de ingeniería social, trucos de phishing y lanzadores de malware.

Una organización de medios y sus empleados son accesibles al público en general, lo cual es desafortunado. La implicación de esto es que pueden convertirse en víctimas de la ingeniería social en el sentido de que la información confidencial puede verse comprometida como resultado de estar comprometida.

fuente:cybersecuritynews