Çin, Kuzey Kore, İran ve Türkiye kaynaklı gelişmiş kalıcı (APT) tehdit gruplarının faaliyetlerini takip eden araştırmacılar, gazetecilerin ve medya kuruluşlarının devlet bağlantılı aktörler için sabit bir hedef olmaya devam ettiğini söylüyor.
Saldırganlar, bir siber casusluk operasyonunu genişletmeye yardımcı olabilecek, halka açık olmayan bilgilere benzersiz erişime sahip oldukları için bu hedefleri ya maskeliyor ya da saldırıyor.
Son hedefleme etkinliği
Proofpoint analistleri, 2021’den 2022’ye kadar bu faaliyetleri takip ediyor ve gazetecileri taklit eden veya hedef alan birkaç APT grubu hakkında bir rapor yayınladı.
‘Zirkonyum’ (TA412) olarak bilinen Çin bağlantılı tehdit aktörünün, mesajlara erişildiğinde uyarı veren izleyiciler içeren e-postalarla 2021’in başından beri Amerikalı gazetecileri hedef aldığı doğrulandı.
Bu basit numara aynı zamanda tehdit aktörünün, kurbanın konumu ve internet servis sağlayıcısı (ISS) gibi daha fazla bilgi toplayabilecekleri hedefin genel IP adresini almasına da izin verdi.
Şubat 2022’ye kadar Zirkonyum, aynı taktiklerle gazetecileri hedef alan ve esas olarak Rusya-Ukrayna savaşı hakkında haber yapanlara odaklanan kampanyaları yeniden başlattı.
Nisan 2022’de Proofpoint, TA459 olarak izlenen başka bir Çinli APT grubunun, açıldığında Chinoxy kötü amaçlı yazılımının bir kopyasını düşüren RTF dosyalarıyla muhabirleri hedeflediğini gözlemledi. Bu grup Afganistan’daki dış politikayla ilgilenen medyayı hedef aldı.
TA404 grubunun Kuzey Koreli bilgisayar korsanları da 2022 baharında sahte iş ilanlarını yem olarak kullanarak medya personelini hedef alırken görüldü.
Son olarak, Türk tehdit aktörleri, TA482’nin gazetecilerin sosyal medya hesaplarını çalmaya çalışan kimlik bilgisi toplama kampanyaları düzenlediğini takip etti.
Gazetecileri taklit etme
Ancak, tüm bilgisayar korsanları, gazeteci hesaplarını tehlikeye atmak için çaba harcamayı umursamıyor. Bunun yerine, bazıları köşeleri keser ve doğrudan muhabir kişilerin hedeflerine doğrudan ulaştığını varsayar.
Proofpoint, bu taktiği esas olarak akademisyenlere ve muhabir kılığında Orta Doğu politika uzmanlarına e-posta gönderen TA453 (aka Charming Kitten) gibi İranlı aktörlerden gördü.
Başka bir örnek de, e-postalarını Guardian veya Fox haberlerinden alınan haber bültenleri olarak gizleyen ve hedefe başarılı kötü amaçlı yazılım teslimi umuduyla TA456’dır (diğer adıyla Tortoiseshell).
Son olarak Proofpoint, Eylül 2021 ile Mart 2022 arasında her iki ila üç haftada bir medya hedefleme kampanyaları başlatan İranlı bilgisayar korsanları TA457’nin faaliyetlerine dikkat çekiyor.
APT’lerin kimlik avı hileleri, kötü amaçlı yazılım düşürücüler ve çeşitli sosyal mühendislik taktikleri kullanarak gazetecileri hedeflemeye devam etmesi bekleniyor.
Ne yazık ki, medya kuruluşları ve çalışanları halka açıktır ve hassas bilgilere erişimlerini tehlikeye atabilecek sosyal mühendisliğin kurbanları olabilirler.