Conocidos medios de comunicación, incluidos The Guardian del Reino Unido y el canal de televisión estadounidense Fox News, han sido atacados por varios grupos de ciberdelincuentes patrocinados por China, Corea del Norte, Irán y Turquía para llevar a cabo espionaje, propagar malware e infiltrarse en sus redes. En un informe de inteligencia, un equipo de investigadores de la empresa líder en seguridad cibernética y cumplimiento Proofpoint reveló detalles sobre estas amenazas persistentes avanzadas (APT), ataques de los gobiernos en apoyo de sus intereses. En este caso, los atacantes se dirigen principalmente a los correos electrónicos o cuentas de redes sociales de los periodistas, especialmente en el Reino Unido y los EE. UU., por motivos como obtener información confidencial y acceder a sus organizaciones.
El sector de los medios, especialmente aquellos que trabajan allí, puede abrir puertas a los ciberdelincuentes que de otro modo serían imposibles. Un ataque exitoso a la cuenta de correo electrónico simple de un reportero podría proporcionar datos sobre un tema delicado o un tema incipiente en el que estaba trabajando, así como también identificar la fuente de la información. Las consecuencias serían enormes: engañar o difundir propaganda, afectar un ambiente ya tenso, revelar el funcionamiento interno de gobiernos, corporaciones o cualquier otra área de importancia nacional.
Desde principios de 2021, los datos gestionados por Proofpoint muestran que los ciberdelincuentes de APT en todo el mundo continúan trabajando arduamente para atacar o explotar a los periodistas en diferentes amenazas. A través de grupos, los ciberdelincuentes detrás de Charming Kitten (TA453) y Tortoiseshell (TA456) del lado del régimen iraní se hacen pasar por editores de The Guardian, The Sun, Fox News o Metro para obtener acceso a expertos en política exterior, accediendo así a datos confidenciales. Por otro lado, para el grupo chino TA412, la atención se centra en los reporteros de Washington, D.C. y la Casa Blanca. Según el equipo de investigadores de Proofpoint, estos ciberdelincuentes realizaron algunos movimientos en los días previos al ataque al Capitolio el 6 de enero de 2021. Este año, por ejemplo, reanudaron sus ataques contra varios periodistas que cubrían EE.UU. y la participación de EE.UU. Ataque europeo a Ucrania en Rusia.
Entre las campañas maliciosas observadas por Proofpoint destaca también el ataque de phishing por parte del grupo Lazarus (TA404) que sufrió un grupo de medios de comunicación en Estados Unidos después de la publicación de un artículo en el que se criticaba al líder norcoreano Kim Yong Un. Este suele ser casi siempre uno de los motivos de ciberdelincuentes APT alineados con Corea del Norte para pasar a la acción. Mientras, simpatizantes del Estado turco centraron más sus esfuerzos en atacar las redes sociales de periodistas para ampliar contactos y difundir propaganda a favor del presidente Erdogan.
Los métodos de ataque también fueron variados, incluyendo el uso de balizas digitales (web beacon) para labores de reconocimiento hasta distribución de malware para lograr un acceso inicial a la red del objetivo. Pero el correo electrónico es el principal vector de ataque utilizado por los cibercriminales APT, sobre todo, si el objetivo es un periodista. Se trata de una de las profesiones en las que suele haber más riesgo de phishing debido más que nada por pura necesidad de los periodistas de comunicarse con otras personas, extranjeras o de su propio país, desconocidos e incluso bajo anonimato para recopilar información. El compromiso de sus cuentas sirve además como punto de entrada para realizar posteriormente otros ataques al propio medio como organización, entre otros incidentes.
“En una era de dependencia digital, los medios de comunicación, como el resto de nosotros, son vulnerables a una variedad de ciberamenazas, y algunas de las más impactantes son las que provienen de grupos APT. Proofpoint revela por primera vez algunas de las actividades específicas de estos ciberdelincuentes, que tienen como objetivo a profesionales de medios de comunicación o se hacen pasar por ellos, como reconocimientos previos a los disturbios del año pasado en el Capitolio, recolectar credenciales y distribuir malware”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint.
Si bien esta fijación por los medios y los periodistas no es algo nuevo, para los cibercriminales supone que haya un menor riesgo de que su actividad sea descubierta en comparación con otros posibles objetivos como las entidades gubernamentales. Por ello, desde Proofpoint instan a quienes forman parte de este sector a permanecer vigilantes, ser conscientes de la amplia superficie de ataque, actuar con precaución y verificar el origen de un correo electrónico o la identidad del remitente, porque solo con eso se puede detener un ataque APT en su fase inicial.
