Os grupos APT estatais procuram informações confidenciais e tentam descobrir as fontes das histórias, visando o correio eletrónico e os meios de comunicação social.
Por Lucian Constantin
Desde o início de 2021, os investigadores têm observado várias campanhas de ataque por grupos avançados de ameaça persistente (APT) patrocinados pelo Estado norte-americano, visando jornalistas e as organizações de comunicação social para as quais trabalham. Os ataques visaram os seus e-mails de trabalho e os relatos dos meios de comunicação social e muitas vezes seguiram a cobertura noticiosa de histórias que pintaram certos regimes sob uma luz negativa ou que foram cronometradas para eventos políticos sensíveis nos EUA.
Os jornalistas sempre foram um alvo atraente para os espiões, devido ao acesso que têm a informações confidenciais e à confiança que as organizações e indivíduos neles depositam frequentemente, razão pela qual é imperativo que os membros dos meios de comunicação social recebam formação em segurança online e estejam conscientes das técnicas utilizadas pelos hackers.
“O setor dos media e aqueles que nele trabalham podem abrir portas que outros não podem”, disseram os investigadores da Proofpoint num novo relatório que documenta as recentes campanhas de ataque contra jornalistas por grupos APT ligados à China, Coreia do Norte, Irão e Turquia. “Um ataque bem-sucedido e oportuno à conta do correio eletrónico de um jornalista pode fornecer informações sobre histórias sensíveis e emergentes e a identificação da fonte. Uma conta comprometida pode ser utilizada para divulgar desinformação ou propaganda pró Estado, fornecer desinformação em tempos de guerra ou pandemia, ou ser utilizada para influenciar uma atmosfera politicamente carregada”.
Do rastreio de pixels ao malware
Devido à sua natureza altamente orientada, o reconhecimento desempenha um grande papel nos ataques APT, uma vez que os hackers precisam de saber o máximo de informação sobre uma potencial vítima para criar um isco credível. Muitas vezes, isto inclui a validação do endereço de correio eletrónico de alguém e a probabilidade de este abrir uma futura mensagem maliciosa.
Os atacantes muitas vezes conseguem isto através da incorporação de imagens do tamanho de pixel alojadas em servidores web que controlam em mensagens de correio eletrónico benignas. São conhecidos como tracking pixels ou web beacons e são acionados quando um e-mail é lido, enviando de volta aos atacantes o endereço IP externo do alvo, a cadeia de agentes do utilizador, o que os ajuda a identificar o seu sistema operativo e cliente de e-mail, e o mais importante, a validação de que a conta de e-mail alvo está ativa e o proprietário lê os seus e-mails.
O grupo chinês APT segue os jornalistas dos EUA
Entre janeiro e fevereiro de 2021, os investigadores da Proofpoint observaram um grupo APT chinês, rastreado como TA412 ou Zircon, visando jornalistas sediados nos EUA, utilizando estes emails de reconhecimento. Os e-mails utilizavam manchetes de notícias recentes como assunto e incluíam texto copiado de artigos legítimos. Após o ataque ao edifício do Capitólio dos EUA a 6 de janeiro, a campanha intensificou-se e centrou-se nos correspondentes de Washington DC e da Casa Branca.
Após vários meses de pausa, o mesmo grupo lançou outra campanha de reconhecimento em agosto de 2021, centrada em jornalistas que cobriram histórias de segurança cibernética, vigilância e privacidade que pintaram a China e o governo chinês de uma forma desfavorável. Em fevereiro de 2022 teve lugar outra vaga de e-mails dirigidos a jornalistas e, com base nos tópicos dos e-mails, focou-se naqueles que relatavam o envolvimento da UE e dos EUA na Guerra da Ucrânia.
Embora as campanhas detetadas pelo TA412 se tenham centrado apenas no reconhecimento, é provável que tenham sido seguidas por tentativas de comprometer alvos selecionados com malware através de correio eletrónico ou de outras formas.
Um exemplo disto é uma campanha de ataque contra jornalistas lançada em abril por uma APT chinesa diferente, identificada como TA459. Esse ataque veio de um endereço de correio eletrónico possivelmente comprometido do governo paquistanês e tinha um anexo RTF malicioso que implantou um programa de porta traseira chamado Chinoxy. O alvo era uma organização de comunicação social que reportava sobre a guerra entre a Rússia e a Ucrânia, disseram os investigadores da Proofpoint.
Outro grupo APT, conhecido como TA404 ou Lazarus, filiado no governo norte-coreano, também lançou uma campanha de reconhecimento no início de 2022 contra uma organização dos media que escreveu uma história crítica sobre a Coreia do Norte e o seu líder. Os e-mails benignos disfarçados de ofertas de emprego e incluíam URLs com identificações de localização únicas para cada destinatário.
“Embora os investigadores da Proofpoint não tenham observado e-mails de seguimento, considerando a propensão deste ator ameaçador para enviar mais tarde anexos de e-mails carregados de malware, é provável que TA404 tenha tentado enviar anexos de documentos modelo maliciosos ou algo semelhante no futuro”, disseram os investigadores.
Em março, o Google TAG documentou uma campanha de correio eletrónico semelhante lançada por agentes de ameaça norte-coreanos que levou os destinatários a páginas que exploravam uma vulnerabilidade no Google Chrome. Os alvos incluíam organizações de meios noticiosos.
Os relatos dos jornalistas são também um alvo
Os ataques contra jornalistas não se limitam a tentativas de distribuição de malware, mas também phishing credencial, uma vez que as mensagens não autorizadas afixadas nas contas dos meios de comunicação social dos jornalistas podem ter um amplo alcance e podem ser utilizadas em campanhas de desinformação.
Desde o início de 2022, a Proofpoint tem vindo a acompanhar uma campanha de correio eletrónico por um grupo APT turco. Os e-mails disfarçam-se de alertas de segurança do Twitter e dirigem os destinatários para uma página de phishing para obterem credenciais do Twitter.
“As campanhas em curso têm restringido as credenciais no Twitter de qualquer pessoa que escreva para publicações nos meios de comunicação social”, disseram os investigadores. “Isto inclui jornalistas de meios de comunicação social bem conhecidos até aos que escrevem para uma instituição académica e tudo o que se encontra entre eles”.
Não está claro o que estes atacantes planeiam fazer com as credenciais do Twitter. Poderiam ser utilizados para visar os contactos dos meios de comunicação social dos jornalistas, ler as suas mensagens privadas ou desfigurar as suas contas.
Fazer-se passar por jornalistas para extrair informações das vítimas ou encaminhá-las para sites de phishing é uma técnica há muito utilizada por vários grupos APT iranianos. A Proofpoint tem acompanhado campanhas do TA453, também conhecido como Charming Kitten; TA456, também conhecido como Tortoiseshell; e TA457 que se fez passar por jornalistas ou organizações dos meios de comunicação social para atingir académicos e especialistas em política, pessoal de relações públicas de empresas localizadas nos EUA, Israel e Arábia Saudita, e vários outros indivíduos.
“As várias abordagens dos atores da APT – utilizando faróis da Web para reconhecimento, recolhendo credenciais e enviando malware para ganhar uma posição na rede do destinatário – significa que aqueles que operam no espaço dos media precisam de permanecer vigilantes”, disseram os investigadores da Proofpoint. “Estar ciente da ampla superfície de ataque – todas as variadas plataformas online utilizadas para partilhar informações e notícias – que um ator APT pode aproveitar é também fundamental para evitar tornar-se numa vítima. E, finalmente, praticar cautela e verificar a identidade ou fonte de um e-mail pode parar um ataque APT nas suas fases iniciais”.