[15/07/2022] Desde principios del 2021, los investigadores han observado múltiples campañas de ataque por parte de grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) patrocinados por el Estado, dirigidas a periodistas y a las organizaciones de medios de comunicación para las que trabajan. Los ataques iban dirigidos a sus correos electrónicos y cuentas de redes sociales, y a menudo seguían la cobertura de los periodistas de historias que pintaban mal a ciertos regímenes o que coincidían con acontecimientos políticos delicados en Estados Unidos.
Los periodistas siempre han sido un objetivo atractivo para los espías debido al acceso que tienen a información sensible y a la confianza que las organizaciones y las personas suelen depositar en ellos, por lo que es imprescindible que los miembros de los medios de comunicación reciban formación sobre seguridad en línea y conozcan las técnicas utilizadas por los hackers vinculados al Estado.
"El sector de los medios de comunicación y quienes trabajan en él pueden abrir puertas que otros no pueden", afirman los investigadores de Proofpoint en un nuevo informe que documenta las recientes campañas de ataque contra periodistas por parte de grupos APT vinculados a China, Corea del Norte, Irán y Turquía. "Un ataque bien programado y exitoso a la cuenta de correo electrónico de un periodista podría proporcionar información sobre historias sensibles y en ciernes, así como la identificación de la fuente. Una cuenta comprometida podría ser utilizada para difundir desinformación o propaganda pro-estatal, proporcionar desinformación en tiempos de guerra o pandemia, o ser utilizada para influir en un ambiente políticamente cargado".
De los píxeles de seguimiento al malware
Debido a su naturaleza altamente selectiva, el reconocimiento juega un papel importante en los ataques APT, ya que los hackers necesitan conocer toda la información posible sobre una víctima potencial para elaborar señuelos creíbles. A menudo esto incluye la validación de la dirección de correo electrónico de alguien y la probabilidad de que abra un futuro mensaje malicioso.
Los atacantes suelen conseguirlo incrustando en los mensajes de correo electrónico benignos, imágenes del tamaño de un píxel alojadas en servidores web que controlan. Se conocen como píxeles de seguimiento o balizas web y se activan cuando se lee un correo electrónico, devolviendo a los atacantes la dirección IP externa del objetivo, la cadena de agente de usuario, que les ayuda a identificar su sistema operativo y su cliente de correo electrónico y, lo que es más importante, la validación de que la cuenta de correo electrónico objetivo está activa y el propietario lee sus correos electrónicos.
Un grupo chino de APT rastrea a periodistas estadounidenses
Entre enero y febrero del 2021, los investigadores de Proofpoint observaron que un grupo APT chino rastreado como TA412 o Zirconium se dirigía a periodistas con sede en Estados Unidos utilizando estos correos electrónicos de reconocimiento con balizas web. Los correos electrónicos utilizaban como asunto titulares de noticias recientes, e incluían texto copiado de artículos legítimos. Tras el ataque al edificio del Capitolio de Estados Unidos el 6 de enero, la campaña se intensificó y se centró en Washington DC y en los corresponsales de la Casa Blanca.
Tras varios meses de pausa, el mismo grupo lanzó otra campaña de reconocimiento en agosto del 2021 centrada en los periodistas que cubrían historias de ciberseguridad, vigilancia y privacidad que pintaban a China y al gobierno chino bajo una luz desfavorable. En febrero del 2022 se produjo otra oleada de correos electrónicos dirigidos a periodistas y, según los temas de los correos, se centró en aquellos que informaban sobre la participación de la UE y de Estados Unidos en la guerra de Ucrania.
Aunque las campañas detectadas por TA412 se centraban únicamente en el reconocimiento, es probable que fueran seguidas de intentos de comprometer los objetivos seleccionados con malware, ya sea por correo electrónico o de otras formas.
Un ejemplo de ello es una campaña de ataque dirigida a periodistas lanzada en abril por otra APT china rastreada como TA459. Ese ataque procedía de una dirección de correo electrónico del gobierno pakistaní posiblemente comprometida, y tenía un archivo adjunto RTF malicioso que desplegaba un programa de puerta trasera llamado Chinoxy. El objetivo era una organización de medios de comunicación que informaba sobre la guerra entre Rusia y Ucrania, señalaron los investigadores de Proofpoint.
Otro grupo APT, conocido como TA404 o Lazarus, afiliado al gobierno de Corea del Norte, también lanzó una campaña de reconocimiento a principios del 2022 contra un medio de comunicación que escribió un artículo crítico sobre Corea del Norte y su líder. Los correos electrónicos benignos se hacían pasar por ofertas de trabajo, e incluían URLs con identificadores de seguimiento únicos para cada destinatario.
"Aunque los investigadores de Proofpoint no observaron correos electrónicos de seguimiento, teniendo en cuenta la proclividad de este actor de la amenaza a enviar posteriormente archivos adjuntos de correo electrónico cargados de malware, es probable que TA404 haya intentado enviar un documento adjunto de plantilla malicioso o algo similar en el futuro", señalaron los investigadores de Proofpoint.
En marzo, Google TAG documentó una campaña de correo electrónico similar lanzada por actores de la amenaza norcoreana que llevaba a los destinatarios a páginas que explotaban una vulnerabilidad en Google Chrome. Entre los objetivos se encontraban organizaciones de medios de comunicación.
Las cuentas de redes sociales de los periodistas también son un objetivo
Los ataques contra los periodistas no se limitan a los intentos de despliegue de malware, sino también a la suplantación de credenciales, ya que los mensajes falsos publicados desde las cuentas de medios sociales de los periodistas pueden tener un gran alcance y ser utilizados en campañas de desinformación.
Desde principios del 2022, Proofpoint ha estado siguiendo una campaña de correos electrónicos de un grupo turco de APT. Los correos electrónicos se hacen pasar por alertas de seguridad de Twitter, y dirigen a los destinatarios a una página de phishing para obtener credenciales de Twitter.
"Las campañas en curso se han centrado en las credenciales de Twitter de cualquier persona que escriba para publicaciones de medios de comunicación", dijeron los investigadores. "Esto incluye a periodistas de conocidos medios de comunicación hasta los que escriben para una institución académica y todo lo que está en medio".
No está claro qué planean hacer estos atacantes con las credenciales de Twitter. Podrían utilizarlas para dirigirse a los contactos de los periodistas en las redes sociales, leer sus mensajes privados o desfigurar sus cuentas.
Hacerse pasar por periodistas para extraer información de las víctimas o dirigirlas a sitios web de phishing es una técnica utilizada desde hace tiempo por varios grupos iraníes de APT. Proofpoint ha rastreado las campañas de TA453, también conocido como Charming Kitten; TA456, también conocido como Tortoiseshell; y TA457, vinculados a Irán, que se han hecho pasar por periodistas u organizaciones de medios de comunicación para dirigirse a académicos y expertos en política, personal de relaciones públicas de empresas ubicadas en Estados Unidos, Israel y Arabia Saudí, y otras personas.
"La variedad de enfoques de los actores de APT -que utilizan balizas web para el reconocimiento, la recolección de credenciales y el envío de malware para ganar un punto de apoyo en la red de un destinatario- significa que aquellos que operan en el espacio de los medios de comunicación deben permanecer vigilantes", dijeron los investigadores de Proofpoint. "Ser consciente de la amplia superficie de ataque -todas las variadas plataformas en línea utilizadas para compartir información y noticias- que un actor de APT puede aprovechar es también clave para evitar convertirse en una víctima. Y, en última instancia, practicar la precaución y verificar la identidad o la fuente de un correo electrónico puede detener un ataque APT en su etapa inicial".
Basado en el artículo de Martin Heller (InfoWorld) y editado por CIO Perú