Nemzetközi hackercsoportok 2021 eleje óta intenzíven támadják a média munkatársait. Céljuk, hogy megszerezzék az újságírók hitelesítő adatait, majd nyomon kövessék tevékenységüket.

A Proofpoint hívta fel a figyelmet jelentésében arra, hogy kínai, észak-koreai, iráni és török hackercsoportok célzottan támadják a sajtó munkatársait.

A hackercsoportok egymáshoz hasonló taktikát követnek: az e-mail és a közösségi fiókok belépési adatait próbálják megszerezni adathalász trükkök segítségével. Céljuk, hogy ellopják az újságírók személyes adatait, illetve nyomon kövessék mozgásukat. A csalit általában célzott e-mailek, illetve közösségi média üzenetek jelentik, amelyek az adott újságíró munkájához látszólag kapcsolódó információkat és linkeket tartalmaznak. 

Egy sikeres fertőzés után a támadók igyekeznek rejtve maradni (így például nem titkosítják az adathordozókat és nem követelnek váltságdíjat), annak érdekében, hogy minél hosszabb időn keresztül tudjanak adatokat megszerezni, illetve lehetőség esetén a hálózaton belül további eszközökre terjeszkedjenek. Az eszközökre telepített kisméretű alkalmazások segítségével emellett nyomon követik az újságírókat.

Hackercsoportok Kínától Iránig

A média munkatársait korábban is érték kibertámadások, mivel jelentős információkhoz férhetnek hozzá politikai és társadalmi-gazdasági kérdésekben. Most azonban ezek jóval intenzívebbé váltak, és nem valószínű, hogy a közeljövőben alábbhagynának.

2021 januárja óta a Proofpoint kutatói öt kampányt azonosítottak.

A kínai APT csoport, más néven cirkónium vagy TA412, az egyesült államokbeli újságírókat célozta meg, főként azokat, akik az Egyesült Államok politikájáról és nemzetbiztonságáról tudósítanak a nemzetközi figyelmet keltő események során. Egy felderítő adathalász kampányra a január 6-i Capitolium épülete elleni támadást közvetlenül megelőző napokban került sor, és ezalatt a támadók kifejezetten a Fehér Házban is dolgozó washingtoni tudósítókra összpontosítottak. A hackerek az újságírók szempontjából releváns cikkek tárgysorait használták csalinak. Az adathalász e-mailek tartalmaztak egy nyomkövető pixelt, egy hiperhivatkozással ellátott, nem látható, aprócska képfájlt, amely egy távoli szerverről töltődött le. Ezzel a támadással az e-mail fiókok valódiságát, aktivitását ellenőrizték. 

A szintén kínai támogatású TA459 csoport a délkelet-ázsiai média munkatársait célozta meg rosszindulatú Royal Road RTF-mellékletet tartalmazó e-mailekkel. 

Nagyjából ebben az időben az észak-koreai TA404 csoport – ismertebb nevén Lazarus – adathalász támadásokkal vett célba egy amerikai médiaszervezetet. A csalit itt látszólag jó hírű cégektől kínált álláslehetőségek jelentették. A támadók az egyes címzetteknek testre szabott linkeket küldtek, melyek egy hamis álláshirdetésre vezettek egy ismert álláskereső portál szintén meghamisított oldalán. 

Egy feltehetően Törökország által támogatott csoport ezalatt a Twitter hitelesítő adatait célozta meg, hogy újságírók belépési adatait lopja el. Ez a kampány tipikusan a Twitter biztonságához kapcsolódó adathalász e-maileket használt, így például figyelmeztették a felhasználókat egy gyanús bejelentkezésre, majd átirányították őket egy hamisított Twitter oldalra. A csoport emellett a török kormányzó politikai párt melletti propagandát terjesztett. 

A Proofpoint szerint aktívak voltak az Iránhoz köthető hackercsoportok is, amelyeknek tagjai jellemzően újságíróknak adták ki magukat a támadások során, hogy részt vegyenek a célpontok elleni megfigyelésben, és megszerezzék a jogosítványaikat. A támadások egyik legaktívabb elkövetője a Charming Kitten néven ismert csoport, amely újságírókat, akadémikusokat és kutatókat célzott meg úgy, hogy vitát folytatott velük külpolitikai vagy más Közel-Kelethez kapcsolódó témákban, majd egy személyre szabott, de jóindulatú PDF-en keresztül virtuális találkozókra hívta az áldozatokat. Ez a PDF azonban már tartalmazott egy rövidített linket, amelyre ha az áldozat kattintott, akkor átadta IP címét, ami egy támadás első lépése lehet. 

Mit lehet tenni ellene?

Az újságíróknak mindenképpen érdemes bevezetniük néhány intézkedést. Az első, hogy használjanak megbízható, külső gyártótól származó vírusvédelmi programot számítógépeiken és telefonjaikon, mi természetesen a G DATA szoftvereit ajánljuk. 

De emellett érdemes elgondolkodni a munka és a magánélet elkülönítéséről két külön számítógépre, valamint a gépek és telefonok rendszeres fertőtlenítéséről, adattörléséről gondoskodni. 

Egyes – magas biztonsági szintet megkövetelő – szakmákban megszokott, hogy a számítógépeket és telefonokat projektekhez delegálják, majd a projektek végén törlik azokat, így a két munka adatai között nem fordulhat elő átjárás. Mindez praktikusan azt jelentheti, hogy amennyiben az újságíró egy fontos anyagon dolgozik, majd a munka véget ér, akkor a szükséges megőrzendő dokumentumokat kimenti egy titkosított és védett adathordozóra, a számítógépet fertőtleníti egy minősített adattörlési szoftver segítségével, majd így kezd bele a következő munkába. Ezen a módon biztosítva van, hogy a gép elvesztése vagy megfertőzése esetén az adatszivárgás csak az aktuális munkát érintheti. 

Minősített adattörlési szoftverből a legismertebb a Blancco, ennek használata esetében nem egyszerű törlés történik, hanem speciális algoritmusok segítségével kerül többszörös felülírásra a merevlemez minden területe, még az operációs rendszer elől elrejtett részeket is beleértve. 

Ugyanígy érdemes törlésről gondoskodni minden olyan esetben, amikor az újságíró számítógépe vagy telefonja illetéktelen kezekbe kerülhetett. Ilyen alkalom lehet például, amikor a szakember egy védett objektumba látogat, ahol a telefonját, számítógépét le kell adnia megőrzésre, de ilyen akár egy külföldi út is. 

Mindemellett fontos a titkosítás, titkosított tárolás: az adathordozók titkosítása mellett létre lehet hozni fájlszéfeket, amelyekben a bizalmas dokumentumok tárolhatóak. 

A fenti rutinok betartása nagymértékben segíti a biztonságot, incidens esetében pedig az adatszivárgás körét minimalizálja.