Según un reciente informe de ProofPoint, grupos de ciberdelincuentes alineados con China, Irán, Corea del Norte y Turquía han estado ciberatacando desde principios de 2021 a periodistas para realizar espionaje. En este artículo claves del modus operandi de estos grupos de piratas informáticos y la amenaza que suponen.
«Lo más común es que los ataques de phishing dirigidos contra periodistas se utilicen para el espionaje o para obtener información clave sobre el funcionamiento interno de otro gobierno, empresa u otra área de importación designada por el estado». El objetivo final de las intrusiones «sostenidas», dijo la empresa de seguridad empresarial, es obtener una ventaja de inteligencia competitiva o difundir desinformación y propaganda.
Así, según el informe, se advierte cómo un ataque oportuno y exitoso a la cuenta de correo electrónico de un periodista podría proporcionar información sobre historias sensibles e incipientes y la identificación de la fuente. «Una cuenta comprometida podría utilizarse para difundir desinformación o propaganda proestatal, proporcionar desinformación en tiempos de guerra o pandemia, o utilizarse para influir en una atmósfera políticamente cargada», aseguran.
Te puede interesar: Ciberespionaje desde China
En el informe se mencionan en concreto las actividades de actores que realizan amenazas persistentes avanzadas (APT) que, según los investigadores, están alineadas con los intereses estatales de China, Corea del Norte, Irán y Turquía. Las conclusiones clave del informe serían:
En relación a China, Proofpoint señala en el informe a dos grupos de piratas informáticos chinos: TA412 (también conocido como Zirconium o Judgment Panda) y TA459, que se dirigen al personal de los medios de comunicación con correos electrónicos maliciosos que contienen balizas web y documentos armados, respectivamente. Estos se utilizaron para acumular información sobre los entornos de red de los destinatarios y eliminar el malware Chinoxy.
Además destacamos cómo a comienzo de 2022 y, en concreto, a partir del 9 de febrero, aumentaron las campañas con los medios de comunicación como víctimas, centrándose en aquellos que informaban sobre el compromiso de Estados Unidos y la Unión Europea en Ucrania. Según el informe los temas tratados era:
- El nuevo proyecto de ley tiene como objetivo prohibir la ayuda militar estadounidense a Ucrania
- Estados Unidos emite una amenaza a Rusia para China
- Macron revela que Putin «garantiza»
- Reino Unido armará a Ucrania con misiles antibuque contra Rusia
- Estados Unidos dice cómo se puede resolver el enfrentamiento de Ucrania
- Reino Unido dice que la invasión es «muy probable»
- La Casa Blanca dice que la puerta a la diplomacia con Rusia sigue abierta, pero la acumulación de tropas continúa
En relación a Corea del Norte el informe señala como el Grupo Lázaro (también conocido como TA404) se dirigió a una organización de medios de comunicación con sede en Estados Unidos con un señuelo de phishing con temática de oferta de trabajo tras su cobertura «crítica» del líder supremo Kim Jong Un, lo que refleja una vez más la continua dependencia del actor de la amenaza en la técnica para promover sus objetivos.
En este sentido se señala nuevamente a los periodistas y medios de comunicación estadounidenses como víctimas de los grupos piratas a favor de Turquía conocidos como TA482. Estos estarían vinculados a un ataque de recolección de credenciales diseñado para desviar credenciales de Twitter a través de páginas de destino falsas.
Por último, Proofpoint destaca en su informe los intentos por parte de múltiples actores iraníes de APT como Charming Kitten (también conocido como TA453) haciéndose pasar por periodistas para atraer a académicos y expertos en políticas a hacer clic en enlaces maliciosos que redirigen los objetivos a dominios de recolección de credenciales.
Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
También se une a esta lista un actor de amenazas iraní llamado Tortoiseshell (también conocido como TA456 o Imperial Kitten) que se dice que se ha hecho pasar «rutinariamente» por organizaciones de medios de comunicación como Fox News y The Guardian para enviar correos electrónicos temáticos de boletines que contienen balizas web.
Tras esta recopilación de casos, es un hecho de que los periodistas y las entidades de medios de comunicación se han convertido en una víctima más de los ciberataques debido a su capacidad para ofrecer «acceso e información únicos», lo que los convierte en objetivos lucrativos para los esfuerzos de recopilación de Inteligencia.
Los variados enfoques de los actores de APT, utilizando balizas web para el reconocimiento, la recolección de credenciales y el envío de malware para afianzarse en la red de un destinatario, significan que aquellos que operan en el espacio de los medios deben mantenerse «vigilantes».
«Evaluar el nivel personal de riesgo puede dar a un individuo una buena idea de las probabilidades de que termine como objetivo. Por ejemplo, si informa sobre China o Corea del Norte o los actores de amenazas asociados, puede formar parte de sus requisitos de cobro en el futuro», aseguran desde la empresa de seguridad.
Te puede interesar: Cómo protegerse en una ciberguerra
Así, entre las conclusiones del informe se señala la necesidad de los periodistas y de los ciudadanos de ser conscientes las amplias posibilidades de ser víctimas de un ciberataque en varias plataformas en línea utilizadas para compartir información y noticias. «Un actor de APT aprovecha las vulnerabilidades y es clave evitar que uno mismo se convierta en víctima. Y, en última instancia, practicar la precaución y verificar la identidad o la fuente de un correo electrónico puede detener un ataque APT en su etapa incipiente».