A finales del pasado mes de abril informábamos que el grupo de amenazas persistentes avanzadas APT37 (o Ricochet Chollima), patrocinado por el Estado de Corea del Norte, habían sido descubiertos atacando a periodistas que suelen cubrir noticias sobre el país asiático con una nueva cepa de malware.
Ahora, queremos cubrir una investigación de Proofpoint que pone de manifiesto que periodistas y medios de comunicación de todo el mundo han sido objetivos de una serie de ciberataques perpetrados por grupos de APT respaldados no solamente por Corea del Norte, sino también por China, Irán y Turquía. Entre sus víctimas, se encuentran medios de comunicación de renombre como el periódico británico The Guardian o la cadena de televisión estadounidense Fox News, así como corresponsales de la Casa Blanca, quienes fueron el blanco de hackers apoyados por China en los días previos al ataque en el Capitolio de Estados Unidos del 6 de enero de 2021.
Los investigadores de la compañía de ciberseguridad llevan rastreando estas campañas maliciosas desde principios de 2021 y advierten que no perciben signos de que vayan a disminuir. Tal y como señala el informe, el sector de los medios de comunicación y, sobre todo, quienes trabajan ahí, son muy atractivos para los actores APT respaldados por estados por varias razones, principalmente porque les pueden facilitar datos sobre asuntos delicados, así como identificar fuentes de información. Con un ataque certero a una simple cuenta de correo electrónico podrían lograrlo y utilizar esa cuenta comprometida para difundir desinformación o propaganda a favor del estado, influir en ambientes de por sí muy cargados o descubrir información sobre el funcionamiento interno de un gobierno, empresa o cualquier otra área de importancia para un país.
El informe resalta el esfuerzo continuo que han mostrado los grupos de cibercriminales APT en intentar atacar o aprovecharse de periodistas de todo el mundo con distintas amenazas. Asimismo, destaca que los atacantes se han dirigido principalmente a los correos electrónicos o cuentas en redes sociales de los periodistas, especialmente en Reino Unido y Estados Unidos, para realizar acciones de espionaje, propagar malware, infiltrarse en sus redes y obtener acceso a información confidencial, entre otras motivaciones.
Las campañas detectadas por Proofpoint reflejan que los actores de amenazas han utilizado una variedad de técnicas para perpetrar sus ataques. Estas tácticas van desde el uso de balizas digitales (web beacon) para labores de reconocimiento hasta la distribución de malware para lograr un acceso inicial a la red de la víctima. No obstante, el correo electrónico es el principal vector de ataque utilizado por los cibercriminales APT, que habitualmente se hacen pasar por periodistas y medios de comunicación conscientes del "acceso único y la información que pueden proporcionar".
"Es importante tener en cuenta que los periodistas se comunican con partes externas, extranjeras y, a menudo, semi-anónimas para recopilar información. Este alcance aumenta el riesgo de phishing ya que los periodistas, a menudo por necesidad, se comunican con destinatarios desconocidos más que el usuario promedio. Verificar u obtener acceso a dichas cuentas puede ser un punto de entrada para los actores de amenazas para ataques posteriores en la red de una organización de medios o para obtener acceso a la información deseada", indica el informe. Además, apunta que atacar al sector de los medios de comunicación también reduce el riesgo de que su actividad sea descubierta en comparación con otros posibles objetivos como las entidades gubernamentales.
Por ello, desde Proofpoint instan a quienes forman parte de este sector a permanecer alertas, ser conscientes de la amplia superficie de ataque, actuar con precaución y verificar el origen de un correo electrónico o la identidad del remitente, porque solo con eso se puede detener un ataque APT en su fase inicial.
Las víctimas de estas campañas
El informe de Proofpoint detalla las diversas campañas maliciosas observadas por sus investigadores desde principios del año pasado.
Entre enero y febrero de 2021, identificaron cinco campañas de phishing del grupo chino TA412, también conocido como Zirconium, dirigidas principalmente a periodistas de Estados Unidos que cubren la política y la seguridad nacional del país.
"Es de destacar que se produjo un cambio muy abrupto en la orientación del phishing de reconocimiento en los días inmediatamente anteriores al ataque del 6 de enero de 2021 en el edificio del Capitolio de EE. UU. Los investigadores de Proofpoint observaron un enfoque en los corresponsales de Washington DC y la Casa Blanca durante este tiempo. Los correos electrónicos maliciosos utilizaron líneas de asunto extraídas de artículos de noticias recientes de EE. UU., como 'Los beneficios por desempleo se agotan mientras Trump se resiste a firmar un proyecto de ley de ayuda'", indica el informe.
Siguiendo su información, en agosto de 2021, después de un receso de meses, TA412 volvió a enfocarse en periodistas, pero esta vez en aquellos que trabajan en temas de ciberseguridad, vigilancia y privacidad con un enfoque en China, y este año también ha atacado a varios reporteros que estaban cubriendo la participación de Estados Unidos y Europa en la ofensiva de Rusia en Ucrania.
Por su parte, los ciberdelincuentes detrás de Charming Kitten (TA453) y Tortoiseshell (TA456), del lado del régimen iraní, se hicieron pasar por redactores de The Guardian, The Sun, Fox News o Metro con el objetivo de acercarse a expertos en política exterior y así acceder a datos confidenciales.
En cuanto a las operaciones de los hackers respaldados por Turquía, el informe señala que desde principios de este año el "prolífico" actor de amenazas TA482 ha lanzado regularmente campañas de recopilación de credenciales que se dirigen a cuentas de redes sociales de periodistas y organizaciones de medios en su mayoría con sede en EE. UU. Principalmente, se han centrado en las credenciales de Twitter de cualquier persona que escriba en un medio de comunicación o para una institución académica con el objetivo de difundir propaganda a favor del presidente Recep Tayyip Erdogan y de su partido político.
Finalmente, entre las campañas orquestadas por piratas informáticos alineados con Corea del Norte destaca el ataque de phishing que sufrió a principios del pasado mes de enero un grupo de medios de comunicación en Estados Unidos después de que publicara un artículo en el que se criticaba al líder norcoreano Kim Yong Un. Detrás de esta ofensiva estaba el grupo TA404, más conocido como Lazarus, que comenzó con un phishing de reconocimiento que usaba URL personalizadas para cada destinatario, disfrazadas como oportunidades de trabajo.
Si el objetivo interactuaba con la URL, el servidor que resolvía el dominio recibía la confirmación de que se entregó el correo electrónico y se interactuó con él, junto con información de identificación sobre el dispositivo del objetivo, afirman los investigadores.