Nationale Hackergruppen, die mit China, dem Iran, Nordkorea und der Türkei verbündet sind, haben es seit Anfang 2021 in einer Reihe von Kampagnen auf Journalisten abgesehen, um sie auszuspionieren und Malware zu verbreiten.
„In den meisten Fällen werden Phishing-Angriffe auf Journalistinnen und Journalisten zu Spionagezwecken eingesetzt oder um wichtige Einblicke in das Innenleben einer anderen Regierung, eines Unternehmens oder eines anderen Bereichs von staatlicher Bedeutung zu erlangen“, so Proofpoint in einem Bericht, der The Hacker News vorliegt.
Das ultimative Ziel der „anhaltenden“ Eindringlinge ist es, sich einen Informationsvorsprung zu verschaffen oder Desinformation und Propaganda zu verbreiten, so das Unternehmen.
Proofpoint hat zwei chinesische Hackergruppen identifiziert, TA412 (auch bekannt als Zirconium oder Judgment Panda) und TA459, die Medienmitarbeiter mit bösartigen E-Mails angriffen, die Web-Beacons bzw. waffenfähige Dokumente enthielten, um Informationen über die Netzwerkumgebung der Empfänger zu sammeln und Chinoxy-Malware zu verbreiten.
Die Lazarus Group (auch bekannt als TA404), die mit Nordkorea verbunden ist, hatte es ebenfalls auf eine nicht näher benannte US-Medienorganisation abgesehen und lockte diese mit einem Phishing-Angebot, nachdem sie kritisch über den Obersten Führer Kim Jong Un berichtet hatte.
Journalisten und Medien mit Sitz in den USA wurden auch von einer pro-türkischen Hackergruppe namens TA482 angegriffen, die mit einem Angriff in Verbindung gebracht wurde, bei dem über gefälschte Landing Pages Zugangsdaten für Twitter abgegriffen wurden.
„Die Motivation hinter diesen Kampagnen […] könnte darin bestehen, die kompromittierten Konten zu nutzen, um die Social-Media-Kontakte eines Journalisten ins Visier zu nehmen, die Konten zu verunstalten oder Propaganda zu verbreiten“, so die Theorie der Forscher.
Schließlich wies Proofpoint auf die Versuche mehrerer iranischer APT-Akteure wie Charming Kitten (alias TA453) hin, die sich als Journalisten ausgaben, um Akademiker und Politikexperten dazu zu verleiten, auf bösartige Links zu klicken, die die Zielpersonen auf Domains zum Sammeln von Zugangsdaten umleiten.
Zu dieser Liste gehört auch ein Bedrohungsakteur namens Tortoiseshell (auch bekannt als TA456 oder Imperial Kitten), der sich „routinemäßig“ als Medienorganisationen wie Fox News und The Guardian ausgibt, um Newsletter-E-Mails mit Web-Beacons zu versenden.
Der dritte mit dem Iran verbündete Angreifer, der einen identischen Ansatz verfolgt, ist TA457, der sich als „iNews Reporter“ ausgab, um eine .NET-basierte DNS-Backdoor an PR-Mitarbeiter von Unternehmen in den USA, Israel und Saudi-Arabien zu versenden.
Die Tatsache, dass Journalisten und Medienunternehmen zum Ziel von Angriffen geworden sind, wird dadurch unterstrichen, dass sie „einzigartigen Zugang und Informationen“ bieten, was sie zu lukrativen Zielen für nachrichtendienstliche Aktivitäten macht.
„Ein gut getimter, erfolgreicher Angriff auf das E-Mail-Konto eines Journalisten könnte Einblicke in sensible, aufkeimende Geschichten und die Identifizierung von Quellen liefern“, so die Forscher. „Ein kompromittiertes Konto könnte dazu benutzt werden, Desinformationen oder staatsfreundliche Propaganda zu verbreiten, in Kriegs- oder Pandemiezeiten Desinformationen zu liefern oder eine politisch aufgeladene Atmosphäre zu beeinflussen.