Medios de comunicación de renombre ueron atacados por varios grupos cibercriminales patrocinados por los Estados de China, Corea del Norte, Irán y Turquía para realizar acciones de espionaje.

Medios de comunicación de renombre, entre los que figuran el periódico británico The Guardian o la cadena de televisión estadounidense Fox News, fueron atacados por varios grupos cibercriminales patrocinados por los Estados de China, Corea del Norte, Irán y Turquía para realizar acciones de espionaje, propagar malware e infiltrarse en sus redes. El equipo de investigadores de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, revela los detalles en un informe de inteligencia sobre estas amenazas persistentes avanzadas (APT, por sus siglas en inglés), es decir, ataques auspiciados por gobiernos a favor de sus intereses. En este caso, los atacantes se dirigían principalmente a los correos electrónicos o cuentas en redes sociales de periodistas, concretamente en Reino Unido y Estados Unidos, para obtener información sensible y acceder a sus organizaciones, entre otras motivaciones.

El sector de los medios de comunicación y, sobre todo, quienes trabajan ahí, pueden abrir puertas a los cibercriminales que de otra forma sería imposible. Un ataque certero a una simple cuenta de correo electrónico de un periodista puede facilitar datos sobre asuntos delicados o temas en ciernes que esté trabajando, así como identificar fuentes de información. Las repercusiones serían de un alcance enorme: desinformar o difundir propaganda, influenciar en ambientes de por sí muy cargados, desvelar el funcionamiento interno de un gobierno, empresa o cualquier otra área de importancia para un país.

Los datos que maneja Proofpoint desde principios de 2021 muestran un esfuerzo continuo de cibercriminales APT en todo el mundo por atacar o aprovecharse de periodistas en distintas amenazas. Por grupos, los ciberdelincuentes detrás de Charming Kitten (TA453) y Tortoiseshell (TA456), del lado del régimen iraní, se hicieron pasar por redactores de The Guardian, The Sun, Fox News o Metro con el objetivo de acercarse a expertos en política exterior y así acceder a datos confidenciales. Para el grupo chino TA412, en cambio, el punto de mira estuvo en Washington DC y los corresponsales de la Casa Blanca. Según el equipo de investigadores de Proofpoint, estos ciberdelincuentes hicieron algunos movimientos días antes del ataque contra el Capitolio del 6 de enero de 2021. Y en este año, por ejemplo, reanudaron los ataques contra varios reporteros que estaban cubriendo la participación de Estados Unidos y Europa en la ofensiva de Rusia en Ucrania.  

Entre las campañas maliciosas observadas por Proofpoint destaca también el ataque de phishing por parte del grupo Lazarus (TA404) que sufrió un grupo de medios de comunicación en Estados Unidos después de la publicación de un artículo en el que se criticaba al líder norcoreano Kim Yong Un. Este suele ser casi siempre uno de los motivos de ciberdelincuentes APT alineados con Corea del Norte para pasar a la acción. Mientras, simpatizantes del Estado turco centraron más sus esfuerzos en atacar las redes sociales de periodistas para ampliar contactos y difundir propaganda a favor del presidente Erdogan.

Los métodos de ataque también fueron variados, incluyendo el uso de balizas digitales (web beacon) para labores de reconocimiento hasta distribución de malware para lograr un acceso inicial a la red del objetivo. Pero el correo electrónico es el principal vector de ataque utilizado por los cibercriminales APT, sobre todo, si el objetivo es un periodista. Se trata de una de las profesiones en las que suele haber más riesgo de phishing debido más que nada por pura necesidad de los periodistas de comunicarse con otras personas, extranjeras o de su propio país, desconocidos e incluso bajo anonimato para recopilar información. El compromiso de sus cuentas sirve además como punto de entrada para realizar posteriormente otros ataques al propio medio como organización, entre otros incidentes.   

“En una era de dependencia digital, los medios de comunicación, como el resto de nosotros, son vulnerables a una variedad de ciberamenazas, y algunas de las más impactantes son las que provienen de grupos APT. Proofpoint revela por primera vez algunas de las actividades específicas de estos ciberdelincuentes, que tienen como objetivo a profesionales de medios de comunicación o se hacen pasar por ellos, como reconocimientos previos a los disturbios del año pasado en el Capitolio, recolectar credenciales y distribuir malware”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint.

Si bien esta fijación por los medios y los periodistas no es algo nuevo, para los cibercriminales supone que haya un menor riesgo de que su actividad sea descubierta en comparación con otros posibles objetivos como las entidades gubernamentales. Por ello, desde Proofpoint instan a quienes forman parte de este sector a permanecer vigilantes, ser conscientes de la amplia superficie de ataque, actuar con precaución y verificar el origen de un correo electrónico o la identidad del remitente, porque solo con eso se puede detener un ataque APT en su fase inicial.