2022-08-04

Nationalstatssponsrade cyberangrepp mot journalister

Cybersäkerhetsforskare från Proofpoint har tagit fram en ny rapport, som avslöjar hur olika nationalstatssponsrade hackergrupper riktar in sig på journalister för att bedriva spioneri, sprida skadlig programvara och infiltrera mediaorganisationers nätverk.

De globala publikationer som dessa grupper riktar sig mot inkluderar The Guardian och Fox News. En vältajmad, framgångsrik attack på ett e-postkonto tillhörande en journalist riskerar att få allvarliga effekter – däribland att källor kommer i orätta händer och att andra känsliga uppgifter läcks.

Rapporten visar bland annat:

• Advanced Persistent Threat-grupper (APT) med kopplingar till Kina, Nordkorea, Iran och Turkiet har observerats rikta in sig på mejladresser och konton i sociala medier tillhörande journalister för att få känslig information och vidare tillgång till deras organisationer.

• Olika iransk-anslutna hotaktörer som Charming Kitten (TA453) och Tortoiseshell (TA456) har också observerats låtsas vara journalister från tidningar som The Guardian, The Sun, Fox News och The Metro. Attackerna har riktat sig mot akademiker och utrikespolitiska experter över hela världen i ett försök att få tillgång till känslig information.

• Gruppen TA412, som har kopplingar till kinesiska staten, observerades utföra spaning bara dagar före stormningen av Kapitolium den 6 januari 2021. Samma grupp återupptog också inriktningen i början av 2022, då med fokus på reportrar som bevakar kriget mellan Ryssland och Ukraina.

• Nordkorea-kopplade Lazarus Group (TA404) utförde ett nätfiskeförsök mot en amerikansk medieorganisation. Denna attack inträffade efter att organisationen publicerade en artikel som var kritisk mot Nordkoreas ledare Kim Jong Un.

• Hotaktörer med kopplingar till den turkiska staten har fokuserat sina ansträngningar på att få tillgång till journalisters konton på sociala medier, med det troliga syftet att sprida Erdogan-vänlig propaganda och rikta in sig på ytterligare kontakter.

– I en tid av digitalt beroende är media, precis som alla andra, sårbara för en mängd olika cyberhot. Några av de mest potentiellt påverkande är de från APT-aktörer. Proofpoint avslöjar för första gången någon specifik APT-aktivitet som riktar sig till media eller utger sig för att vara media, från aktivitet före upploppet den 6 januari 2021 till insamling av inloggningsuppgifter och leverans av skadlig programvara, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.