Quando si parla di cybersecurity – sottolinea lo specialista della materia, Proofpoint –, giornalisti e media subiscono molte delle stesse minacce di cui sono vittime tutti gli utenti.
Spesso, addirittura, i gruppi hacker che puntano sulle minacce avanzate (APT, Advanced Persistent Threat) mirano a coloro che operano in questi settori per amplificare la portata delle loro azioni.
Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint, spiega: “In un’epoca di dipendenza digitale, i media, come tutti noi, sono vulnerabili a una serie di minacce informatiche. Alcune delle più potenzialmente impattanti sono quelle derivanti dagli attori APT.
Già in relazione all’assalto al Campidoglio di Washington nel gennaio 2021 erano state rilevate attività esplorative in questo senso, oggi Proofpoint per la prima volta evidenzia specifiche attività APT che prendono di mira i media o si fingono loro rappresentanti”.
I ricercatori di Proofpoint hanno osservato che gli attori APT, in particolare quelli finanziati o allineati a entità statali, prendono spesso di mira giornalisti e media, o si fingono tali, proprio per via delle informazioni di cui sono in possesso, che possono consentire loro di aprire porte ad altri non disponibili.
Un attacco ben pianificato e riuscito all’account di posta elettronica di un giornalista potrebbe fornire informazioni su avvenimenti sensibili, magari ancora in fase di sviluppo, e identificarne le fonti. Un account compromesso potrebbe essere usato per diffondere disinformazione o propaganda a favore di uno Stato, condividere fake news in tempi di guerra o pandemia o essere usato per influenzare una situazione politicamente fragile.
Più comunemente, gli attacchi di phishing che prendono di mira i giornalisti sono utilizzati a scopo di spionaggio o per ottenere informazioni chiave sui meccanismi interni di un altro governo, un’azienda o un altro settore di importanza statale.
Dall’inizio del 2021, l’attore APT identificato da Proofpoint come TA412, noto anche come Zirconium in base alla segnalazione pubblica di un team di ricognizione di phishing all’interno di questa più ampia designazione di attore di minacce APT da parte di Microsoft, si è impegnato in numerose campagne di phishing di ricognizione rivolte a giornalisti con sede negli Stati Uniti.
TA412, che si ritiene sia allineato agli interessi dello Stato cinese e abbia obiettivi di spionaggio strategico, ha privilegiato l’uso di email dannose contenenti web beacon in queste campagne.
Si tratta di una tecnica costantemente utilizzata da questo attore almeno dal 2016, ma probabilmente era già in uso da anni prima. I web beacon, comunemente chiamati tracking pixel, tracking beacon e web bug, incorporano nel corpo di un’email un oggetto hyperlinked non visibile che, una volta attivato, tenta di recuperare un file immagine benigno da un server controllato dall’attore.
I ricercatori di Proofpoint ritengono che queste campagne abbiano lo scopo di convalidare l’attività delle email mirate e ottenere informazioni rilevanti sugli ambienti di rete dei destinatari.
I web beacon possono fornire i seguenti artefatti tecnici che possono servire come informazioni di ricognizione mentre un attore di minacce pianifica la successiva fase di attacco:
- Indirizzi IP visibili dall’esterno
- Stringa User-Agent
- Indirizzo email
- Convalida che l’account utente preso di mira sia attivo
Le campagne di TA412 e dei suoi simili si sono evolute nel corso dei mesi – spiegano ancora gli esperti di Proofpoint –, modificando le esche per adattarsi al meglio all’attuale contesto politico statunitense e passando a colpire giornalisti con sede locale focalizzati su diverse aree di interesse per il governo cinese.
Le campagne che hanno preso di mira i giornalisti fanno parte di un modello più ampio di phishing di ricognizione condotto da questo attore da molti anni.
