Ciberespías atacan a periodistas de medios británicos y estadounidenses

  • Actualidad

Una investigación de Proofpoint revela que periodistas de medios de comunicación británicos y estadounidenses han sido atacados por grupos APT patrocinados por Gobiernos para conseguir información sensible. La firma de seguridad muestra, por primera vez, algunas de las actividades específicas de estos ciberdelincuentes, que tienen como objetivo a profesionales de medios de comunicación o se hacen pasar por ellos.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Medios de comunicación de renombre, entre los que figuran el periódico británico The Guardian o la cadena de televisión estadounidense Fox News, fueron atacados por varios grupos cibercriminales patrocinados por los Estados de China, Corea del Norte, Irán y Turquía para realizar acciones de espionaje, propagar malware e infiltrarse en sus redes. El equipo de investigadores de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, revela los detalles en un informe de inteligencia sobre estas amenazas persistentes avanzadas (APT, en sus siglas en inglés), es decir, ataques auspiciados por gobiernos a favor de sus intereses. En este caso, los atacantes se dirigían principalmente a los correos electrónicos o cuentas en redes sociales de periodistas, concretamente en Reino Unido y Estados Unidos, para obtener información sensible y acceder a sus organizaciones, entre otras motivaciones.

Según Proofpoint, el sector de los medios de comunicación y, sobre todo, quienes trabajan ahí, pueden abrir puertas a los cibercriminales que de otra forma sería imposible. Un ataque certero a una simple cuenta de correo electrónico de un periodista puede facilitar datos sobre asuntos delicados o temas en ciernes que esté trabajando, así como identificar fuentes de información. Las repercusiones serían de un alcance enorme: desinformar o difundir propaganda, influenciar en ambientes de por sí muy cargados, desvelar el funcionamiento interno de un gobierno, empresa o cualquier otra área de importancia para un país.

Los datos que maneja Proofpoint desde principios de 2021 muestran un esfuerzo continuo de cibercriminales APT en todo el mundo por atacar o aprovecharse de periodistas en distintas amenazas. Por grupos, los ciberdelincuentes detrás de Charming Kitten (TA453) y Tortoiseshell (TA456), del lado del régimen iraní, se hicieron pasar por redactores de The Guardian, The Sun, Fox News o Metro para acercarse a expertos en política exterior y así acceder a datos confidenciales. Para el grupo chino TA412, en cambio, el punto de mira estuvo en Washington DC y los corresponsales de la Casa Blanca. Según el equipo de investigadores de Proofpoint, estos ciberdelincuentes hicieron algunos movimientos días antes del ataque contra el Capitolio del 6 de enero de 2021. Y en este año, por ejemplo, reanudaron los ataques contra varios reporteros que estaban cubriendo la participación de Estados Unidos y Europa en la ofensiva de Rusia en Ucrania.  

Entre las campañas maliciosas observadas por Proofpoint destaca también el ataque de phishing por parte del grupo Lazarus (TA404) que sufrió un grupo de medios de comunicación en Estados Unidos después de la publicación de un artículo en el que se criticaba al líder norcoreano Kim Yong Un. Este suele ser casi siempre uno de los motivos de ciberdelincuentes APT alineados con Corea del Norte para pasar a la acción. Mientras, simpatizantes del Estado turco centraron más sus esfuerzos en atacar las redes sociales de periodistas para ampliar contactos y difundir propaganda a favor del presidente Erdogan.

Los métodos de ataque también fueron variados, incluyendo el uso de balizas digitales (web beacon) para labores de reconocimiento hasta distribución de malware para lograr un acceso inicial a la red del objetivo. Pero el correo electrónico es el principal vector de ataque utilizado por los cibercriminales APT, sobre todo, si el objetivo es un periodista. Se trata de una de las profesiones en las que suele haber más riesgo de phishing debido más que nada por pura necesidad de los periodistas de comunicarse con otras personas, extranjeras o de su propio país, desconocidos e incluso bajo anonimato para recopilar información. El compromiso de sus cuentas sirve además como punto de entrada para realizar posteriormente otros ataques al propio medio como organización, entre otros incidentes.