Ερευνητές που παρακολουθούν τις δραστηριότητες προηγμένων hacking ομάδων (APT) που προέρχονται από την Κίνα, τη Βόρεια Κορέα, το Ιράν και την Τουρκία λένε ότι οι δημοσιογράφοι και οι οργανισμοί μέσων ενημέρωσης παραμένουν αγαπημένος στόχος. Οι hackers είτε μεταμφιέζονται σε δημοσιογράφους είτε επιτίθενται σε οργανισμούς μέσων ενημέρωσης επειδή μπορούν να αποκτήσουν πρόσβαση σε σημαντικές πληροφορίες που θα μπορούσαν να βοηθήσουν στην επέκταση μιας επιχείρησης κυβερνοκατασκοπείας.
Οι αναλυτές της Proofpoint παρακολουθούν στενά αυτές τις δραστηριότητες τον τελευταίο χρόνο (από το 2021 έως το 2022) και πρόσφατα δημοσίευσαν μια έκθεση σχετικά με αρκετές ομάδες APT που υποδύονταν ή στοχοποιούσαν δημοσιογράφους.
Δείτε επίσης: App Store: 84 scammy εφαρμογές χρεώνουν κρυφά χρήστες iPhone
Μια hacking ομάδα που λέγεται ότι συνδέεται με την Κίνα και είναι γνωστή ως “Zirconium” (TA412), έχει επιβεβαιωθεί ότι στοχεύει Αμερικανούς δημοσιογράφους από τις αρχές του 2021. Οι hackers έστελναν email που περιείχαν trackers, που ειδοποιούσαν κατά την πρόσβαση στα μηνύματα.
Αυτό το απλό τέχνασμα επέτρεψε επίσης στους επιτιθέμενους να αποκτήσουν τη δημόσια διεύθυνση IP του στόχου από την οποία θα μπορούσαν να συγκεντρώσουν περισσότερες πληροφορίες, όπως την τοποθεσία του θύματος και τον πάροχο υπηρεσιών Διαδικτύου (ISP).
Από τον Φεβρουάριο του 2022, η κινεζική ομάδα Zirconium ξεκίνησε νέες εκστρατείες με στόχο δημοσιογράφους, εστιάζοντας κυρίως σε όσους έκαναν ρεπορτάζ για τον πόλεμο Ρωσίας-Ουκρανίας.
Τον Απρίλιο του 2022, η Proofpoint παρατήρησε μια άλλη κινεζική ομάδα APT που παρακολουθείται ως TA459, η οποία στόχευε δημοσιογράφους με αρχεία RTF που εγκαθιστούσαν στις συσκευές των θυμάτων ένα αντίγραφο του κακόβουλου λογισμικού Chinoxy, κατά το άνοιγμα. Σύμφωνα με τους ερευνητές, η ομάδα στόχευε μέσα ενημέρωσης που ενδιαφέρονταν για την εξωτερική πολιτική στο Αφγανιστάν.
Δείτε επίσης: Play Store: Android malware με πάνω από 3 εκατομμύρια εγκαταστάσεις
Επιπλέον, εντοπίστηκαν Βορειοκορεάτες hackers (ομάδα TA404) που στόχευαν προσωπικό οργανισμών μέσων ενημέρωσης την άνοιξη του 2022, χρησιμοποιώντας ψεύτικες αναρτήσεις εργασίας ως δέλεαρ.
Τέλος, Τούρκοι παράγοντες απειλών γνωστοί ως TA482 πραγματοποιούν εκστρατείες με στόχο τη συλλογή credential και την κλοπή των social media accounts δημοσιογράφων.
Οι hackers υποδύονται δημοσιογράφους
Ωστόσο, δεν ενδιαφέρονται όλοι οι hackers για την παραβίαση λογαριασμών που ανήκουν σε δημοσιογράφους. Κάποιοι παριστάνουν γνωστούς δημοσιογράφους για να προσεγγίσουν απευθείας άλλους στόχους.
Η Proofpoint έχει δει αυτή την τακτική κυρίως από ιρανικές ομάδες, όπως η TA453 (γνωστή και ως Charming Kitten), η οποία έστελνε email σε ακαδημαϊκούς και άλλους ειδικούς στη Μέση Ανατολή, παριστάνοντας δημοσιογράφους.
Ένα άλλο παράδειγμα είναι η ομάδα TA456 (γνωστή και ως Tortoiseshell), που στέλνει email με υποτιθέμενα ενημερωτικά δελτία από τα Guardian ή Fox news, ελπίζοντας να παραδώσει malware στη συσκευή του θύματος.
Δείτε επίσης: Η Amazon παραδέχτηκε ότι παρέχει βίντεο Ring στις αρχές εν αγνοία των ιδιοκτητών
Οι ερευνητές της Proofpoint δίνουν ιδιαίτερη έμφαση στη δραστηριότητα των Ιρανών hackers TA457, οι οποίοι, μεταξύ Σεπτεμβρίου 2021 και Μαρτίου 2022, ξεκίνησαν εκστρατείες στόχευσης μέσων ενημέρωσης κάθε δύο έως τρεις εβδομάδες.
Οι δημοσιογράφοι και γενικά οι οργανισμοί media θα αποτελούν πάντα αγαπημένο στόχο των hackers. Οι οργανισμοί μέσων ενημέρωσης και οι υπάλληλοί τους είναι ανοιχτοί στο κοινό, γι’ αυτό μπορούν να γίνουν θύματα social engineering και άλλων hacking τακτικών με σκοπό την απόκτηση πρόσβασης σε σημαντικές πληροφορίες.
Πηγή: www.bleepingcomputer.com