Grupos de ciberespionagem visam cada vez mais jornalistas e organizações de mídia

Desde o início de 2021, os pesquisadores observaram várias campanhas de ataque por grupos de ameaças persistentes avançadas (APT) patrocinadas pelo Estado, destinadas a jornalistas e organizações de mídia para as quais trabalham. Os ataques tiveram como alvo seus e-mails de trabalho e contas de mídia social e muitas vezes seguiram a cobertura jornalística de histórias que pintavam certos regimes sob uma ótica ruim ou eram programadas para eventos políticos sensíveis nos EUA.

Os jornalistas sempre foram um alvo atraente para espiões devido ao acesso que têm a informações confidenciais e à confiança que organizações e indivíduos geralmente depositam neles, razão pela qual é imperativo que os membros da mídia passem por treinamento de segurança on-line e estejam cientes das técnicas usadas por hackers ligados ao Estado.

“O setor de mídia e aqueles que trabalham dentro dele podem abrir portas que outros não podem”, disseram pesquisadores da Proofpoint, em um novo relatório que documenta recentes campanhas de ataque contra jornalistas por grupos APT ligados à China, Coreia do Norte, Irã e Turquia. “Um ataque bem-sucedido e oportuno à conta de e-mail de um jornalista pode fornecer informações sobre histórias sensíveis e emergentes e a identificação da fonte. Uma conta comprometida pode ser usada para espalhar desinformação ou propaganda pró-Estado, fornecer desinformação em tempos de guerra ou pandemia ou ser usada para influenciar uma atmosfera politicamente carregada”.

De pixels de rastreamento a malware

Devido à sua natureza altamente direcionada, o reconhecimento desempenha um grande papel nos ataques APT, pois os hackers precisam saber o máximo possível de informações sobre uma vítima em potencial para criar iscas críveis. Muitas vezes, isso inclui validar o endereço de e-mail de alguém e a probabilidade de eles abrirem uma futura mensagem maliciosa.

Os invasores geralmente conseguem isso incorporando imagens do tamanho de pixels hospedadas em servidores da Web que eles controlam em mensagens de e-mail benignas. Eles são conhecidos como pixels de rastreamento ou web beacons e são acionados quando um e-mail é lido, enviando de volta aos invasores o endereço IP externo do alvo, a cadeia de agente do usuário, o que os ajuda a identificar seu sistema operacional e cliente de e-mail e, mais importante, a validação de que a conta de e-mail de destino está ativa e o proprietário lê seus e-mails.

Grupo chinês de APT rastreia jornalistas dos EUA

Entre janeiro e fevereiro de 2021, os pesquisadores da Proofpoint observaram um grupo chinês APT rastreado como TA412 ou Zircônio visando jornalistas baseados nos EUA usando esses e-mails de reconhecimento com web beacons. Os e-mails usavam manchetes de notícias recentes como assunto e incluíam texto copiado de artigos legítimos. Após o ataque ao edifício do Capitólio, nos EUA, em 6 de janeiro, a campanha se intensificou e se concentrou em Washington DC e correspondentes da Casa Branca.

Após vários meses de pausa, o mesmo grupo lançou outra campanha de reconhecimento em agosto de 2021, focada em jornalistas que cobriram histórias de segurança cibernética, vigilância e privacidade que pintaram a China e o governo chinês sob uma luz desfavorável. Outra onda de e-mails direcionados a jornalistas aconteceu em fevereiro de 2022 e, com base nos tópicos do e-mail, foi focada naqueles que relataram sobre o envolvimento da UE e dos EUA na Guerra da Ucrânia.

Embora as campanhas detectadas pelo TA412 tenham sido focadas apenas em reconhecimento, é provável que tenham sido seguidas por tentativas de comprometer os alvos selecionados com malware por e-mail ou de outras maneiras.

Um exemplo disso é uma campanha de ataque contra jornalistas lançada em abril por um APT chinês diferente, rastreado como TA459. Esse ataque veio de um endereço de e-mail do governo paquistanês possivelmente comprometido e tinha um anexo RTF malicioso que implantou um programa de backdoor chamado Chinoxy. O alvo era uma organização de mídia que relatava a guerra Rússia-Ucrânia, disseram os pesquisadores da Proofpoint.

Outro grupo APT, conhecido como TA404 ou Lazarus, afiliado ao governo norte-coreano, também lançou uma campanha de reconhecimento no início de 2022 contra uma organização de mídia que escreveu uma história crítica sobre a Coreia do Norte e seu líder. Os e-mails benignos se disfarçavam de ofertas de emprego e incluíam URLs com IDs de rastreamento exclusivos para cada destinatário.

“Embora os pesquisadores da Proofpoint não tenham observado e-mails de acompanhamento, considerando a propensão desse agente de ameaças para enviar anexos de e-mail carregados de malware posteriormente, é provável que o TA404 tenha tentado enviar anexos de documentos de modelo maliciosos ou algo semelhante no futuro”, disseram os pesquisadores.

Em março, o Google TAG documentou uma campanha de e-mail semelhante lançada por agentes de ameaças norte-coreanos que levavam os destinatários a páginas que exploravam uma vulnerabilidade no Google Chrome. Os alvos incluíam organizações de mídia de notícias.

As contas de mídia social dos jornalistas também são um alvo

Os ataques contra jornalistas não se limitam a tentativas de implantação de malware, mas também phishing de credenciais, pois mensagens não autorizadas postadas nas contas de mídia social de jornalistas podem ter um grande alcance e podem ser usadas em campanhas de desinformação.

Desde o início de 2022, a Proofpoint acompanha uma campanha de e-mail de um grupo turco de APT. Os e-mails se disfarçam de alertas de segurança do Twitter e direcionam os destinatários para uma página de phishing para obter credenciais do Twitter.

“As campanhas em andamento restringiram as credenciais do Twitter de qualquer indivíduo que escreva para publicações da mídia”, disseram os pesquisadores. “Isso inclui jornalistas de meios de comunicação conhecidos até aqueles que escrevem para uma instituição acadêmica e tudo mais”.

Não está claro o que esses invasores planejam fazer com as credenciais do Twitter. Eles podem ser usados para atingir os contatos de mídia social de jornalistas, ler suas mensagens privadas ou desfigurar suas contas.

Se passar por jornalistas para extrair informações das vítimas ou direcioná-las para sites de phishing é uma técnica usada há muito tempo por vários grupos iranianos de APT. A Proofpoint rastreou campanhas do TA453, ligado ao Irã, também conhecido como Charming Kitten; TA456, também conhecido como Tortoiseshell; e TA457 que se passaram por jornalistas ou organizações de mídia para atingir acadêmicos e especialistas em políticas, pessoal de relações públicas de empresas localizadas nos EUA, Israel e Arábia Saudita e vários outros indivíduos.

“As abordagens variadas dos atores do APT – usando web beacons para reconhecimento, coleta de credenciais e envio de malware para obter uma posição na rede de um destinatário – significa que aqueles que operam no espaço de mídia precisam permanecer vigilantes”, disseram os pesquisadores da Proofpoint. “Estar ciente da ampla superfície de ataque – todas as plataformas on-line variadas usadas para compartilhar informações e notícias – que um ator de APT pode aproveitar também é fundamental para evitar que se torne uma vítima. E, finalmente, praticar cautela e verificar a identidade ou fonte de um e-mail pode interromper um ataque APT em seu estágio inicial”.