News
Espionnage : Proofpoint remonte la piste de cybercriminels se faisant passer pour des journalistes
juillet 2022 par Proofpoint
De nouvelles recherches en cybersécurité de Proofpoint révèlent comment divers groupes de cybercriminels liés à des structures étatiques ont ciblé des journalistes pour mener des campagnes d’espionnage, diffuser des logiciels malveillants et infiltrer les réseaux des organisations médiatiques.
Parmi les publications mondiales ciblées figurent des organes tels que le Guardian et Fox News. Une attaque réussie et au bon moment sur le compte de messagerie d’un journaliste pourrait fournir des informations sur des sujets sensibles en devenir et sur l’identification de ses sources.
Les conclusions de ces recherches montrent que :
• Des groupes de menaces persistantes avancées (APT) alignés sur la Chine, la Corée du Nord, l’Iran et la Turquie ont été observés en train de cibler les courriels professionnels et les comptes de médias sociaux des journalistes afin d’obtenir des informations sensibles et d’accéder davantage à leurs organisations.
• Divers acteurs de la menace alignés sur l’Iran, tels que Charming Kitten (TA453) et Tortoiseshell (TA456), ont également été observés en train de se faire passer pour des journalistes de publications telles que The Guardian, The Sun, Fox News et The Metro. Ces attaques visaient des universitaires et des experts en politique étrangère du monde entier dans le but d’accéder à des informations sensibles.
• Le groupe TA412, aligné sur la Chine, a été observé en train de mener une mission de reconnaissance quelques jours avant l’attaque du 6 janvier 2021 contre le Capitole américain. Les chercheurs de Proofpoint ont observé que les correspondants de Washington DC et de la Maison Blanche étaient ciblés pendant cette période. Ce même groupe a également repris ses activités au début de l’année 2022 en ciblant les journalistes couvrant l’engagement des États-Unis et de l’Europe dans la guerre entre la Russie et l’Ukraine.
• Le groupe nord-coréen Lazarus (TA404) a également ciblé une organisation médiatique américaine avec un hameçonnage sur le thème des offres d’emploi. Cette attaque a eu lieu après la publication d’un article critiquant le dirigeant nord-coréen Kim Jong Un, un motif bien connu d’action pour les acteurs APT proches de la Corée du Nord.
• Les acteurs de la menace alignés sur l’État turc ont concentré leurs efforts sur l’accès aux comptes de médias sociaux des journalistes, dans le but probable de diffuser une propagande pro-Erdogan et de cibler d’autres contacts.
