Recent onderzoek van Proofpoint toont aan hoe verschillende hackersgroepen in opdracht van de overheid, zich richten op journalisten om spionage uit te voeren, malware te verspreiden en netwerken van mediabedrijven te infiltreren. Enkele bekende namen die het slachtoffer werden van deze praktijken, zijn de publicaties The Guardian en Fox News. Een doordachte, succesvolle aanval op het e-mailaccount van een journalist kan waardevolle inzichten verschaffen in gevoelige, actuele informatie en bij het blootleggen van bronnen.
Journalisten en mediabedrijven zijn populaire doelwitten. Onderzoekers van Proofpoint hebben vastgesteld dat APT-actoren (Advanced Persistent Threat), met name die door de staat gesponsord of aan de staat gelieerd, zich voordoen als of zich richten op journalisten en mediabedrijven vanwege de informatie die zij kunnen bieden. Meestal worden gerichte phishing-aanvallen op journalisten gebruikt voor spionage of om belangrijke informatie te achterhalen over de overheid, de bedrijfswereld of een ander gebied dat voor de overheid belangrijk is.
Uit onderzoek van Proofpoint blijkt dat vanaf begin 2021, APT-actoren worden ingezet om journalisten en mediakanalen te bereiken of te betrekken bij een cyberaanval. Het gaat onder meer om aanvallen die goed inspelen op politieke gebeurtenissen in de Verenigde Staten. Sommige cyberaanvallen zijn gericht op mediakanalen om concurrentie voor te blijven, terwijl andere zich richten op journalisten die het beleid van een land zwart hebben gemaakt. Maar ook als middel om desinformatie of propaganda te verspreiden.
Informatie achterhalen via de e-mail van journalisten
Uit onderzoek van Proofpoint blijkt dat het aanvallen van e-mailaccounts van journalisten op het werk veruit de meest voorkomende tactiek is die APT-actoren gebruiken. Journalisten communiceren vaak met externe, buitenlandse en vaak semi-anonieme partijen om informatie te verzamelen. Dit verhoogt het risico op phishing, aangezien journalisten, vaak noodgedwongen, met onbekenden communiceren. Het verifiëren van of het verkrijgen van toegang tot dergelijke accounts kan voor cybercriminelen een ingang zijn om later aanvallen uit te voeren op het netwerk van een mediabedrijf of om toegang te krijgen tot hun informatie.
Voordoen als een journalist
Signalen dat er iets niet klopt worden vaak genegeerd of over het hoofd gezien wanneer iemand door een journalist wordt benaderd om over een onderwerp van expertise te spreken. Deze social engineering-tactiek maakt succesvol gebruik van het menselijke verlangen naar erkenning en wordt gebruikt door APT-actoren die zich richten op academici en deskundigen op het gebied van buitenlands beleid, waarschijnlijk in een poging om toegang te verkrijgen tot gevoelige informatie.
- APT-groepen (Advanced Persistent Threat) gelieerd aan China, Noord-Korea, Iran en Turkije hebben zich gericht op zakelijke e-mails en social media-accounts van journalisten om gevoelige informatie en toegang tot hun organisaties te verkrijgen.
- Verschillende aan Iran gelieerde cybecriminelen, zoals Charming Kitten (TA453) en Tortoiseshell (TA456), hebben zich voorgedaan als journalisten van publicaties als The Guardian, The Sun, Fox News en The Metro. De aanvallen waren gericht tegen academici en deskundigen op het gebied van buitenlands beleid in een poging om toegang te krijgen tot gevoelige informatie.
- TA412, een groep die verbonden is met de Chinese staat werd opgemerkt voorafgaand aan de aanval op het Amerikaanse Capitoolgebouw op 6 januari 2021. Proofpoint onderzoekers observeerden een gerichte aanval op journalisten van Washington DC en het Witte Huis in deze periode. Dezelfde groep voerde begin 2022 opnieuw een aanval uit, gericht op verslaggevers die rapporteerden over de Amerikaanse en Europese betrokkenheid bij de oorlog tussen Rusland en Oekraïne.
- De Noord-Koreaanse Lazarus Group (TA404) richtte zich via phishing op een Amerikaans mediabedrijf met als aanleiding openstaande vacatures. Deze aanval vond plaats nadat de organisatie een kritisch artikel over de Noord-Koreaanse leider Kim Jong Un had gepubliceerd - een bekende drijfveer voor APT-actoren met Noord-Koreaanse connecties.
- Cybercriminelen verbonden met de Turkse staat hebben hun inspanningen gericht op het verkrijgen van toegang tot sociale media-accounts van journalisten, waarschijnlijk met het doel pro-Erdogan propaganda te verspreiden en zich te richten op verdere contacten.
Conclusie
De verschillende manieren waarop APT-actoren te werk gaan zijn door zich te richten op journalisten om spionage te plegen, malware te verspreiden en netwerken van mediabedrijven te infiltreren en zo toegang te krijgen tot het netwerk van een ontvanger. Dit betekent dat degenen die werkzaam zijn in de mediasector waakzaam moeten blijven. Het beoordelen van de risicograad kan een goed idee zijn om te bepalen hoe groot de kans is dat iemand slachtoffer wordt van een cyberaanval. Als er bijvoorbeeld onderzoek wordt gedaan naar China of Noord-Korea, is de kans groot dat er in de toekomst een cyberaanval gepleegd kan worden. Bij het voorkomen dat men zelf slachtoffer wordt, is het belangrijk om op de hoogte te blijven welke online platforms er worden gebruikt voor het delen van informatie, zodat APT-actoren daar geen misbruik van kunnen maken. Maar uiteindelijk zullen behoedzaamheid, identiteitsverificatie en het achterhalen waar een e-mail afkomstig van is een APT-aanval vroegtijdig kunnen stoppen.