Аналитики компании Proofpoint пишут, что журналисты и медиакомпании остаются постоянной мишенью для атак правительственных хакеров (в том числе из Китая, Северной Кореи, Ирана и Турции). Интересно, что, пытаясь проникнуть в сети этих организаций, часто обладающих уникальным доступом к закрытой информации, злоумышленники сами выдают себя за представителей СМИ.
В своем отчете исследователи рассказывают сразу о нескольких хак-группах, которые в 2021-2022 годах выдавали себя за журналистов или преследовали их.
К примеру, с начала 2021 года китайская группировка Zirconium (TA412) атаковала американских журналистов с помощью писем, содержащих специальные трекеры, которые сообщали злоумышленникам о том, что сообщения просмотрены. Этот простой трюк позволял атакующим узнать IP-адрес цели, отталкиваясь от которого можно было получить дополнительную информацию, например, о местонахождении жертвы и ее интернет-провайдере.
В апреле 2022 года компания Proofpoint обнаружила еще одну китайскую группу (TA459), которая атаковала СМИ с помощью файлов RTF, которые при открытии заражали машину жертвы малварью Chinoxy. Эта группа в основном атаковала издания, интересующиеся внешней политикой Афганистана.
Кроме того, весной 2022 года северокорейские хакеры из группировки TA404 тоже были замечены в атаках на сотрудников СМИ и использовали для этого поддельные объявления о вакансиях. Тогда как турецкие злоумышленники из группы TA482 организовывали кампании по сбору учетных данных, стремясь взломать учетные записи журналистов в социальных сетях.
Однако не все хакеры пытаются взломать учетные записи журналистов. Вместо этого некоторые сами выдают себя за представителей СМИ, чтобы установить контакт со своими целями. Proofpoint пишет, что эту тактику в основном применяют иранские хакеры, такие как TA453 (эта группа также известна под названием Charming Kitten), которые рассылают письма ученым и экспертам по ближневосточной политике, выдавая себя за журналистов.
Другим хорошим примером таких атак является группа TA456 (она же Tortoiseshell), которая маскирует свои письма под информационные бюллетени от Guardian и Fox, надеясь, что это поможет доставить малварь жертвам.
Исследователи резюмируют, что правительственных хакеры и дальше будут атаковать журналистов и СМИ с помощью фишинга, социальной инженерии и других похожих тактик. При этом цели у хакеров могут быть разными, от желания собрать конфиденциальную информацию до попыток манипулировать общественным мнением. Дело в том, что знания и доступы, которые может предоставить журналист или новостное агентство, зачастую уникальны и очень ценны.
