Numerosos equipos de investigación se encuentran actualmente trabajando sobre las actividades de los grupos APT en China, Corea del Norte, Irán o Turquía. En este caso se ha llegado a afirmar que los medios de comunicación afines a los gobiernos están en el punto de mira de estos ataques, con métodos de suplantación que también están aterrizando en los medios de Estados Unidos.
El hecho de atacar a medios de comunicación tiene principalmente misiones de ciberespionaje. En estos países que hemos mencionado, los medios afines al gobierno pueden tener información sensible que no se hace pública debido a las acciones de la censura.
Una investigación constante
Los diferentes analistas de Proofpoint han ido realizando investigaciones a lo largo de 2021 y 2022 publicando un informe donde se ha puesto de manifiesto toda la actividad de estos grupos de hackers APT. En concreto, se ha detallado que Zirconium tiene en el punto de mira a numerosos periodistas de Estados Unidos desde 2021 enviando correos electrónicos de manera masiva a las víctimas.
Estos simples email cuentan con diferentes rastreadores para poder saber cuando se presenta una actividad sobre ellos. Al momento de abrirlos se puede tener acceso a la dirección IP pública para recopilar información extra, ya que con esta dirección se puede saber la ubicación o el proveedor de servicios. A esto obviamente se acompañaban asuntos realmente atractivos y contenidos para noticias que puede resultar ser interesante.
Esta práctica volvió a coger fuerza en 2022 con las campañas hacia los medios que estaban informando sobre el conflicto entre Rusia y Ucrania. Todos estos correos contaban con copias de malware que se activaban al momento de descargar el correo electrónico con el objetivo de robar las cuentas de periodistas en las redes internas de los diferentes medios de comunicación.
En algunos casos se hacen pasar por periodistas
Pero la evolución de esta operación ha llegado finalmente a querer suplantar la identidad de los periodistas. De esta manera se trata de evadir el hecho de hacerse por la fuerza bruta con sus cuentas. Esto se hizo principalmente enviando correos electrónicos a personas con gran poder en Irán, haciéndose pasar por un reportaje de alta reputación como por ejemplo del medio Metro.
En este sentido, se pudieron detectar campañas masivas de envío de correos electrónicos entre septiembre de 2021 y marzo de 2022. Además, se espera que esta práctica continúe atacando a lo largo de los últimos meses a numerosos medios de comunicación. Y el hecho de que los periodistas y los medios de comunicación estén siempre de cara al público hacer que sean la víctima "perfecta" para las prácticas de ingeniería social.
Vía | BleepingComputer