Informationsbeschaffung und Bestrafung stehen im Mittelpunkt der Hackerangriffe auf Journalisten, erklärt Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint.

Information gathering and punishment are at the heart of hacking attacks on journalists, explains Miro Mitrovic, area vice president for the DACH region at Proofpoint.

Cyberkriminelle versuchen nur noch selten, die Sicherheitsmaßnahmen von Unternehmen direkt zu überwinden. Stattdessen setzen sie vor allem auf Social Engineering, um an Zugangsdaten zu gelangen oder E-Mail-Empfänger zum Ausführen von Schadsoftware zu verleiten. Im Falle von Social Engineering setzen sie auf mehr oder weniger personalisierte Nachrichten, um ihre Ziele zu erreichen. Besonders einflussreiche Personen oder Personen mit weitreichenden Zugriffsrechten geraten dabei häufig ins Visier der Cyberkriminellen. Ebenso sind, abhängig vom Weltgeschehen, bestimmte Berufsgruppen besonders attraktiv für Cyberkriminelle. So haben Experten der IT-Sicherheitsunternehmens Proofpoint beobachtet, dass Cyberkriminelle sich routinemäßig als Journalisten oder Medienorganisationen ausgeben oder diese angreifen. Das gilt insbesondere für Kriminelle, die von einem Staat gesponsert werden oder mit einem Staat verbunden sind.

 

Der Mediensektor und die dort tätigen Personen können Türen öffnen, die anderen verschlossen bleiben. Ein gut getimter, erfolgreicher Angriff auf das E-Mail-Konto eines Journalisten kann Einblicke in sensible, (noch) unveröffentlichte Geschichten liefern und gegebenenfalls Quellen identifizieren. Kriminelle können ein kompromittiertes Konto dazu verwenden, Desinformationen oder staatsfreundliche Propaganda zu verbreiten, Desinformationen in Kriegs- oder Pandemiezeiten streuen oder eine politisch aufgeladene Atmosphäre beeinflussen. Am häufigsten greifen Cyberkriminelle Journalisten mit Phishing-Attacken an, um Spionage zu betreiben und wichtige Einblicke in das Innenleben einer anderen Regierung, eines Unternehmens oder eines anderen Bereichs von staatlicher Bedeutung zu erlangen.

 

Einige Kampagnen, welche die Proofpoint-Fachleute beobachten konnten, zielten auf Medien ab, um einen nachrichtendienstlichen Wettbewerbsvorteil zu erlangen. Andere griffen Journalisten an, die mit ihrer Berichterstattung ein Regime in ein schlechtes Licht rückten, oder hatten das Ziel, Journalisten zur Verbreitung von Falschinformationen zu missbrauchen. Die Proofpoint-Experten konnten insbesondere Advanced-Persistent-Threat (APT)-Gruppen identifizieren, die nach ihrer Einschätzung mit den staatlichen Interessen Chinas, Nordkoreas, des Irans und der Türkei verbunden sind.

 

Wie die Daten von Proofpoint zeigen, erfolgen die Angriffe auf Journalisten vor allem über deren berufliche E-Mail-Konten. Journalisten kommunizieren häufig mit externen, ausländischen und oft halb-anonymen Parteien, um Informationen zu erhalten. Diese Tatsache erhöht das Phishing-Risiko, weil Journalisten zwangsläufig mit mehr unbekannten Empfängern kommunizieren als durchschnittliche E-Mail-Nutzer. Die Verifizierung oder der Zugang zu solchen Konten kann ein Einfallstor für Cyberkriminelle sein, um später Angriffe auf das Netzwerk eines Medienunternehmens durchzuführen oder sich Zugang zu den gesuchten Informationen zu verschaffen.

 

Beispiel China
In seinen Recherchen zu Cyberangriffen auf Journalisten ist das Proofpoint-Team auf etliche „alte Bekannte“ gestoßen. So richtet sich die von Proofpoint als Threat Actor„TA412“ bezeichnete Advanced Persistent Threat APT-Gruppe, auch als „Zirconium“ bekannt, seit wenigstens Anfang 2021 auf in den USA ansässige Journalisten. TA412 wird mit den Interessen des chinesischen Staates in Verbindung gebracht und verfolgt strategische nachrichtendienstliche Ziele.

Die Gruppe hat ihren Kampagnen gegen Journalisten bevorzugt bösartige E-Mails mit Web-Beacons verwendet. Diese Technik wird von TA412 seit mindestens 2016 konsequent eingesetzt, war aber wahrscheinlich auch schon Jahre zuvor in Gebrauch. Web Beacons, die auch als „Tracking Pixel“, „Tracking Beacons“ und „Web Bugs“ bezeichnet werden, betten ein nicht sichtbares Hyperlink-Objekt in den Text einer E-Mail ein. Wenn das Objekt aktiviert wird, versucht es, eine an sich gutartige Bilddatei von einem vom Akteur kontrollierten Server abzurufen.
Mit diesem Vorgehen wollen die Cyberkriminellen wahrscheinlich überprüfen, ob die Ziel-E-Mails aktiv sind, und grundlegende Informationen über die Netzwerkumgebung der Empfänger erhalten. Web Beacons können einem Angreifer die folgenden Informationen liefern, die er für seine nächste Angriffsphase nutzen kann:

  • Nach außen hin sichtbare IP-Adressen
  • Benutzer-Agent-String
  • E-Mail-Adresse
  • Bestätigung, dass das anvisierte Benutzerkonto aktiv ist

 

TA412 und Konsorten entwickelten ihre Kampagnen im Laufe der Monate weiter, indem sie die Köder an das aktuelle politische Umfeld in den USA anpassten und sich auf in den USA ansässige Journalisten konzentrierten, die für die chinesische Regierung von Interesse sind. Die Kampagnen, die auf Journalisten abzielten, waren Teil breiterer Phishing-Kampagnen zur Informationsgewinnung, die von dieser Gruppe über viele Jahre hinweg durchgeführt wurde.

 

Allein zwischen Januar und Februar 2021 konnten die Proofpoint-Spezialisten fünf Kampagnen von TA412 beobachten, die auf in den USA ansässige Journalisten abzielten, vor allem auf solche, die über die US-Politik und die nationale Sicherheit bei Ereignissen berichteten, die internationale Aufmerksamkeit erregten. So kam es in den Tagen unmittelbar vor dem Angriff auf das US-Kapitol am 6. Januar 2021 zu einer sehr abrupten Verschiebung der Zielgruppen der Phishing-Angriffe. In dieser Zeit erfolgte eine Konzentration auf Washington DC und Korrespondenten mit Akkreditierung im Weißen Haus. Die bösartigen E-Mails enthielten Betreffzeilen, die aus aktuellen US-Nachrichtenartikeln stammten, wie „Jobless Benefits Run Out as Trump Resists Signing Relief Bill”, „US issues Russia threat to China” und „Trump Call to Georgia Official Might Violate State and Federal Law”.

 

Die Angriffe von TA412 auf Journalisten finden nicht kontinuierlich statt, sondern die Gruppe legt oft monatelange Ruhephasen ein. Nach einer solchen Pause erfolgte am 9. Februar 2022 eine Wiederaufnahme der Angriffe. Es handelte sich um zahlreiche Kampagnen, die sich über einen Zeitraum von zehn Tagen erstreckten. Diese Kampagnen ähnelten stark denen, die Anfang 2021 festgestellt wurden. Hier ließen die Indizien den Schluss zu, dass in den USA ansässige Medienorganisationen und Journalisten im Fadenkreuz standen, die über das Engagement der USA und Europas im zu erwartenden Krieg Russlands gegen die Ukraine berichteten.

 

Zu den Themen gehörten:

  • Neuer Gesetzentwurf zum Verbot von US-Militärhilfe für die Ukraine
  • USA richten Russland-Drohung an China
  • Macron enthüllt Putin-Garantien
  • Großbritannien will Ukraine mit Anti-Schiffs-Raketen gegen Russland ausrüsten – Kiews Gesandter
  • USA sagen, wie Ukraine-Konflikt gelöst werden kann
  • Großbritannien hält Invasion für „sehr wahrscheinlich“
  • Weißes Haus: Tür für Diplomatie mit Russland bleibt offen, aber Truppenaufstockung geht weiter

 

Beispiel Nordkorea

Zuweilen scheint das Ziel der Cyberkriminellen in der direkten Bestrafung für unliebsame Berichterstattung zu bestehen. Dieses Verhalten ist besonders bei mit Nordkorea verbündeten APT-Gruppen zu beobachten. So zielte die mit Nordkorea verbündete Gruppe TA404 Anfang 2022 auf ein in den USA ansässiges Medienunternehmen mit einem Phishing-Angriff ab, der sich auf ein Stellenangebot bezog, nachdem die Organisation einen Artikel veröffentlicht hatte, der sich kritisch über den nordkoreanischen Führer Kim Jong Un äußerte. TA404, gemeinhin als „Lazarus“ bekannt, führt in der Regel sehr gezielte Kampagnen durch, die mit harmlosen Nachrichten beginnen. Diese Kampagne entsprach dem zu erwartenden Verhalten. Sie begann mit Phishing zur Informationsbeschaffung, bei dem auf den jeweiligen Empfänger zugeschnittene URLs verwendet wurden. Die URLs täuschten eine Stellenausschreibung vor, wobei die Landing Pages so gestaltet waren, dass sie wie Webseiten für Stellenausschreibungen bekannter Marken aussahen. Wenn ein Opfer mit der URL interagierte, die eine eindeutige Ziel-ID enthielt, erhielt der Server, der die Domäne auflöste, eine Bestätigung, dass die E-Mail zugestellt wurde und das beabsichtigte Ziel mit ihr interagiert hatte. Diese Anfrage lieferte auch identifizierende Informationen über den Computer oder das Gerät, sodass die Kriminellen das beabsichtigte Ziel verfolgen konnten.

 

Obwohl die Experten von Proofpoint keine Folge-E-Mails beobachteten, ist es wahrscheinlich, dass TA404 seinem üblichen Vorgehen treu blieb und mit Malware infizierte E-Mail-Anhänge versandte. Spezialisten der Google Threat Analysis Group (TAG) haben am 24. März 2022 Details zu dieser Kampagne als Teil der „Operation Dream Job“ veröffentlicht.

 

Wenn ein Journalist um Informationen bittet

Cyberkriminelle zielen nicht nur auf Journalisten ab, um bei diesen relevante Informationen zu erbeuten oder Propaganda zu verbreiten. Sie geben sich auch als Journalisten aus, um an Informationen zu gelangen. Viele Fachleute sind neugierig bzw. geschmeichelt, wenn Journalisten Informationen bei Ihnen erfragen. Die Möglichkeit, dass die eigene Forschung in den Medien hervorgehoben wird, ist oft ein großer Anreiz und so ignoriert mancher die Anzeichen, dass diese Chance möglicherweise nicht ganz legitim ist. Diese Social-Engineering-Taktik nutzt erfolgreich den menschlichen Wunsch nach Anerkennung aus und wird von APT-Gruppen genutzt, die es auf Akademiker und Außenpolitikexperten in aller Welt abgesehen haben – wahrscheinlich in dem Bestreben, Zugang zu sensiblen Informationen zu erlangen.

 

Beispiel Iran

Mehrere mit dem Iran verbündete APT-Gruppen nutzen Journalisten oder Medien als Vorwand, um Ziele zu überwachen und deren Anmeldedaten abzugreifen. Einer der aktivsten ist TA453, auch bekannt als „Charming Kitten“. TA453 unterstützt mit hoher Wahrscheinlichkeit das Korps der Islamischen Revolutionsgarden bei seinen nachrichtendienstlichen Aktivitäten. Dessen Mitglieder geben sich regelmäßig als Journalist aus und nutzen diese Identitäten, um harmlose Gespräche mit den Zielpersonen zu führen. Bei den Opfern handelt es sich meist um Akademiker und Politikexperten, die sich mit den Außenpolitischen Beziehungen im Nahen Ostens beschäftigen.

 

Der Inhalt der ersten E-Mails von TA453 deutet meist auf ein gewisses Maß an Nachforschungen über die Zielgruppe hin, was die Glaubwürdigkeit der Anfrage erhöht und zu einem weiteren Dialog anregt. Wenn die erste E-Mail ignoriert wird, kontaktiert TA453 die Personen häufig erneut. Lässt sich der angesprochene Empfänger auf ein Gespräch mit dem vermeintlichen Journalisten ein, lädt TA453 sie schließlich zu einem virtuellen Treffen ein, um weitere Gespräche über den Inhalt einer manipulierten, aber an sich harmlosen PDF-Datei zu führen. Die überwiegende Mehrheit der TA453-Kampagnen führt letztendlich zum Sammeln von Anmeldeinformationen. Die gutartigen PDFs werden in der Regel von File-Hosting-Diensten bereitgestellt und enthalten fast immer einen Link zu einem URL-Shortener und einem IP-Tracker, der die Zielpersonen zu Domänen für das Sammeln von Anmeldeinformationen auf einer von den Akteuren kontrollierten Infrastruktur umleitet.

 

TA456, auch bekannt als „Tortoiseshell“, ist eine weitere mit dem Iran verbündete Gruppe. Sie gibt sich routinemäßig als Medienorganisation aus und versendet Newsletter im Namen von Organisationen aus dem gesamten ideologischen Spektrum, darunter Fox News und The Guardian. TA456 hat wiederholt dieselben Benutzer mit Newsletter-E-Mails angesprochen, die Web-Beacons enthalten. Diese Aktivität hat wahrscheinlich die Bemühungen von TA456 ergänzt, Malware über Beziehungen in sozialen Medien zu verbreiten, ähnlich wie bei früheren Kampagnen.

 

Fazit

Journalisten und Medienorganisationen ins Visier zu nehmen, ist nichts Neues. APT-Gruppen werden wahrscheinlich, unabhängig von ihrer staatlichen Zugehörigkeit, immer auch den Auftrag haben, Journalisten und Medienorganisationen anzugreifen, und sie werden entsprechende Identitäten verwenden, um ihre Ziele zu erreichen. Medienschaffende sind darum gut beraten, besonders aufmerksam zu sein. Die Einschätzung des persönlichen Risikos kann dem Einzelnen ein gutes Gefühl dafür geben, wie hoch die Wahrscheinlichkeit ist, dass er oder sie zur Zielscheibe wird. Wer z. B. über China oder Nordkorea berichtet, hat per se ein höheres Risiko und sollte sich dessen bewusst sein. Schließlich kann ein APT-Angriff bereits im Anfangsstadium gestoppt werden, wenn die Betroffenen Vorsicht walten lassen und die Identität oder Quelle einer E-Mail verifizieren.

Cybercriminals rarely try to overcome corporate security measures directly anymore. Instead, they rely primarily on social engineering to obtain credentials or trick email recipients into running malware. In the case of social engineering, they rely on more or less personalized messages to achieve their goals. Particularly influential persons or persons with far-reaching access rights are often targeted by cybercriminals. Likewise, depending on world events, certain occupational groups are particularly attractive to cybercriminals. For example, experts at IT security firm Proofpoint have observed that cybercriminals routinely impersonate or attack journalists or media organizations. This is especially true for criminals sponsored by or affiliated with a state.

 

The media sector and those who work in it can open doors that remain closed to others. A well-timed, successful attack on a journalist’s email account can provide insights into sensitive, (as yet) unpublished stories and, if necessary, identify sources. Criminals can use a compromised account to spread disinformation or pro-state propaganda, spread disinformation in times of war or pandemic, or influence a politically charged atmosphere. Most often, cybercriminals target journalists with phishing attacks to conduct espionage and gain key insights into the inner workings of another government, corporation, or other area of governmental importance.

 

Some campaigns that Proofpoint experts observed targeted media outlets to gain a competitive intelligence advantage. Others attacked journalists whose reporting put a regime in a bad light or aimed to misuse journalists to spread false information. In particular, Proofpoint experts were able to identify advanced persistent threat (APT) groups that they believe are linked to the state interests of China, North Korea, Iran and Turkey.

 

 

As Proofpoint’s data shows, attacks on journalists occur primarily through their professional email accounts. Journalists often communicate with external, foreign and often semi-anonymous parties to obtain information. This fact increases the risk of phishing because journalists inevitably communicate with more unknown recipients than average email users. Verification or access to such accounts can be a gateway for cybercriminals to later launch attacks on a media organization’s network or gain access to the information they seek.

 

China example

In its research into cyberattacks on journalists, the Proofpoint team has come across quite a few „old acquaintances.“ For example, the advanced persistent threat APT group Proofpoint calls „TA412,“ also known as „Zirconium,“ has been targeting U.S.-based journalists since at least early 2021. TA412 is associated with Chinese state interests and has strategic intelligence objectives.

 

The group has favored using malicious emails with web beacons in its campaigns against journalists. This technique has been used consistently by TA412 since at least 2016, but was likely in use years earlier. Web beacons, also known as „tracking pixels,“ „tracking beacons,“ and „web bugs,“ embed an invisible hyperlink object in the text of an email. When activated, the object attempts to retrieve an inherently benign image file from a server controlled by the actor.

 

By doing this, the cybercriminals probably want to verify that the targeted emails are active and obtain basic information about the recipients‘ network environment. Web beacons can provide an attacker with the following information, which they can use for their next attack phase:

– Externally visible IP addresses

– User agent string

– Email address

– Confirmation that the targeted user account is active

 

TA412 and consorts evolved their campaigns over the months, adapting the bait to the current political environment in the U.S. and focusing on U.S.-based journalists of interest to the Chinese government. The campaigns targeting journalists were part of broader information-gathering phishing campaigns conducted by this group over many years.

 

 

 

Between January and February 2021 alone, Proofpoint specialists observed five TA412 campaigns targeting U.S.-based journalists, especially those covering U.S. politics and national security during events that attracted international attention. For example, in the days immediately preceding the attack on the U.S. Capitol on January 6, 2021, there was a very abrupt shift in the targeting of phishing attacks. During this time, there was a focus on Washington DC and White House accredited correspondents. The malicious emails contained subject lines taken from recent U.S. news articles, such as „Jobless Benefits Run Out as Trump Resists Signing Relief Bill,“ „US issues Russia threat to China,“ and „Trump Call to Georgia Official Might Violate State and Federal Law.“

 

TA412’s attacks on journalists are not continuous; the group often takes months-long rest periods. After one such hiatus, attacks resumed on February 9, 2022. These were numerous campaigns that took place over a ten-day period. These campaigns strongly resembled those detected in early 2021. Here, circumstantial evidence suggested that U.S.-based media organizations and journalists were in the crosshairs, reporting on U.S. and European involvement in Russia’s anticipated war against Ukraine.

 

Topics included:

– New bill to ban U.S. military aid to Ukraine.

– U.S. directs Russia threat at China

– Macron unveils Putin guarantees

– Britain to equip Ukraine with anti-ship missiles against Russia – Kiev’s envoy

– U.S. says how Ukraine conflict can be resolved

– Britain says invasion ‚very likely‘

– White House: door to diplomacy with Russia remains open, but troop surge continues

 

 

 

Example North Korea

At times, the goal of cybercriminals appears to be direct punishment for disagreeable reporting. This behavior is particularly evident among APT groups allied with North Korea. For example, in early 2022, the North Korea-allied group TA404 targeted a U.S.-based media outlet with a phishing attack related to a job posting after the organization published an article critical of North Korean leader Kim Jong Un. TA404, commonly known as „Lazarus,“ usually runs highly targeted campaigns that start with innocuous messages. This campaign was consistent with expected behavior. It began with phishing for information, using URLs tailored to the specific recipient. The URLs spoofed a job posting, with landing pages designed to look like websites for job postings from well-known brands. When a victim interacted with the URL, which contained a unique target ID, the server resolving the domain received confirmation that the email had been delivered and the intended target had interacted with it. This request also provided identifying information about the computer or device, allowing the criminals to track the intended target.

 

Although Proofpoint experts did not observe any follow-up emails, it is likely that TA404 stayed true to its usual approach and sent malware-infected email attachments. Specialists from Google Threat Analysis Group (TAG) released details about this campaign as part of „Operation Dream Job“ on March 24, 2022.

 

When a journalist asks for information

Cybercriminals do not only target journalists to capture relevant information from them or spread propaganda. They also pose as journalists to get information. Many professionals are curious or flattered when journalists request information from them. The possibility of having one’s research highlighted in the media is often a great incentive, and so some ignore the signs that this opportunity may not be entirely legitimate. This social engineering tactic successfully exploits the human desire for recognition and is used by APT groups targeting academics and foreign policy experts around the world – likely in an effort to gain access to sensitive information.

 

 

 

Iran example

Several APT groups allied with Iran use journalists or the media as a pretext to monitor targets and intercept their credentials. One of the most active is TA453, also known as „Charming Kitten.“ TA453 most likely assists the Islamic Revolutionary Guard Corps in its intelligence activities. Its members regularly pose as journalists and use these identities to conduct innocuous conversations with targeted individuals. The victims are mostly academics and political experts who deal with foreign relations in the Middle East.

 

The content of TA453’s initial emails usually indicates some level of research on the target, which adds credibility to the request and encourages further dialogue. If the initial email is ignored, TA453 often contacts the individuals again. If the targeted recipient engages in a conversation with the supposed journalist, TA453 eventually invites them to a virtual meeting for further conversation about the contents of a manipulated, but inherently harmless, PDF file. The vast majority of TA453 campaigns eventually lead to the collection of credentials. The benign PDFs are typically provided by file-hosting services and almost always include a link to a URL shortener and IP tracker that redirects targets to credential collection domains on infrastructure controlled by the actors.

 

TA456, also known as „Tortoiseshell,“ is another group allied with Iran. It routinely poses as a media organization and sends newsletters on behalf of organizations across the ideological spectrum, including Fox News and The Guardian. TA456 has repeatedly targeted the same users with newsletter emails containing web beacons. This activity likely complemented TA456’s efforts to spread malware through social media relationships, similar to previous campaigns.

 

 

 

Conclusion

Targeting journalists and media organizations is nothing new. APT groups, regardless of their state affiliation, will likely always have a mission to attack journalists and media organizations, and they will use appropriate identities to achieve their goals. Media professionals are therefore well advised to be especially vigilant. Assessing personal risk can give individuals a good sense of how likely he or she is to be targeted. Those who report on China or North Korea, for example, have a higher risk per se and should be aware of this. Finally, an APT attack can be stopped in its early stages if those targeted exercise caution and verify the identity or source of an email.

 

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner