Medya kuruluşları ve gazeteciler, kariyerleri boyunca diğer tüm bireylerin karşı karşıya kaldığı çok çeşitli tehditlere maruz kalmaktadır.
Son birkaç yılda gazetecilerin ve medya kuruluşlarının, aşağıdaki ülkelerden kaynaklanan APT tehdit gruplarına dahil olan devlet bağlantılı aktörler tarafından hedef alındığına dair birçok rapor var:-
- Çin
- Kuzey Kore
- İran
- Türkiye
Tehdit aktörleri, kamuya açık olmayan bilgilere erişimleri olduğu için tüm bu hedefleri hedef alır. Tehdit aktörleri, bu fırsatın yardımıyla yasadışı siber casusluk operasyonlarını genişletebilir ve artırabilir.
yasa dışı faaliyet
Günümüzde gazetecileri taklit eden veya hedef alan birkaç APT grubu var ve Proofpoint analistleri bu faaliyetleri 2021’den 2022’ye kadar takip ediyor.
2021’in başlarından bu yana, bir Amerikalı gazetecinin Çin ile bağlantılı olduğu bildirilen ‘Zirkonyum’ (TA412) olarak bilinen bir siber tehdit tarafından hedef alındığı doğrulandı. E-postaları, bir mesaj görüntülendiğinde onları uyaran izleyiciler içeriyordu ve onları izlemek için bu araçları kullandılar.
Tehdit aktörü, bu basit hile sonucunda hedefin genel IP adresini de elde etmiştir. Bu bilgi, mağdurun konumu ve ISP de dahil olmak üzere mağdur hakkında daha fazla bilgi edinmelerini sağlayacaktır.
Gazetecilerin e-posta hesapları hedef alındı
Medya sektöründe çalışan kişiler, ekonominin diğer sektörlerinde bulunmayabilecek birçok fırsata erişebilmektedir. Bir saldırı iyi zamanlanmış ve başarılıysa, bir gazetecinin e-posta hesabından hassas bilgiler elde etmek mümkündür.
Bilgi toplama sürecinde, gazeteciler genellikle aşağıdakiler gibi çeşitli türde kuruluşlar ve taraflarla etkileşime girer:-
- Dış taraflar
- yabancı partiler
- Yarı anonim partiler
Bunun bir sonucu olarak, gazeteciler neredeyse her zaman ortalama bir kişiden daha fazla bilinmeyen alıcılarla iletişim kurdukları için kimlik avı ve dolandırılma riskiyle karşı karşıyadır.
Tehdit aktörleri, bu tür hesapları doğrulayabilir veya bunlara erişim sağlayabilirlerse ve bunları diğer ağlara da erişim sağlamak için kullanabilirlerse, sonraki aşama saldırılar için bir giriş noktası sunabilir.
Bu kampanyaların amacı, etkin olan hedeflenen e-postaları doğrulamak ve alıcının ağlarını biraz anlamak olduğundan, hedeflenen e-postaların etkinliğini doğrulamak için tasarlanmıştır.
Saldırının bir sonraki aşaması planlandığı için, tehdit aktörü tarafından keşif amacıyla kullanılabilecek bir saldırgana, web işaretleri tarafından aşağıdaki teknik eserler sağlanabilir:
- Dışarıdan görülebilen IP adresleri
- Kullanıcı-Aracı dizesi
- E-posta adresi
- Hedeflenen kullanıcı hesabının etkin olduğunu doğrulama
İlgili gruplar
Aynı taktikler, Şubat 2022’de Zirkonyum tarafından tekrar Rusya-Ukrayna çatışmasını hedef alan gazetecilere odaklanarak uygulandı.
Aşağıda, dahil olan tüm gruplardan bahsettik: –
- TA412 (Zirkonyum)
- TA459
- TA404
- TA482
- TA453 (Büyüleyici Yavru Kedi)
- TA456 (Kaplumbağa Kabuğu)
- TA457
TA459 grubu, Proofpoint tarafından Çin APT tehdidine ilişkin devam eden analizinin bir parçası olarak Nisan 2022’de gözlemlendi. Raporlara göre, Chinoxy kötü amaçlı yazılımı, muhabirlere gönderilen RTF dosyalarına yerleştirildi. Bu, RTF dosyalarına gömülü Chinoxy kötü amaçlı yazılımı aracılığıyla muhabirler tarafından kullanılabilir.
Kuzey Kore’den TA404 grubuyla ilişkili bilgisayar korsanlarının da 2022 baharında sahte iş ilanları kullanan gazeteciler gibi davrandığı gözlemlendi.
TA482 kapsamında Türk tehdit aktörleri, gazetecilerin kimlik bilgilerini çalmaya çalışan sosyal medya hesaplarından kimlik bilgilerini toplamaya yönelik kampanyalar düzenledi.
Gelecekte, APT’lerin çeşitli sosyal mühendislik teknikleri, kimlik avı hileleri ve kötü amaçlı yazılım düşürücülerle gazetecileri hedef almaya devam etmesi bekleniyor.
Bir medya kuruluşu ve çalışanları, talihsiz bir durum olan genel kamuoyuna açıktır. Bunun anlamı, tehlikeye atılmanın bir sonucu olarak hassas bilgilerin tehlikeye atılabileceği anlamında sosyal mühendisliğin kurbanı olabilecekleridir.