Újságírók a támadók célkeresztjében

Nemzetközi hackercsoportok 2021 eleje óta intenzíven támadják a média munkatársait. Céljuk, hogy megszerezzék az újságírók hitelesítő adatait, majd nyomon kövessék tevékenységüket. A Proofpoint hívta fel a figyelmet jelentésében arra, hogy kínai, észak-koreai, iráni és török hackercsoportok célzottan támadják a sajtó munkatársait.

A hackercsoportok egymáshoz hasonló taktikát követnek: az e-mail és a közösségi fiókok belépési adatait próbálják megszerezni adathalásztrükkök segítségével. Céljuk, hogy ellopják az újságírók személyes adatait, illetve nyomon kövessék mozgásukat. A csalit általában célzott e-mailek, illetve közösségimédia-üzenetek formájában küldik, amelyek az adott újságíró munkájához látszólag kapcsolódó információkat és linkeket tartalmaznak. 

Egy sikeres fertőzés után a támadók igyekeznek rejtve maradni: nem titkosítják az adathordozókat és nem követelnek váltságdíjat azért, hogy minél hosszabb időn keresztül tudjanak adatokat megszerezni, illetve lehetőség esetén a hálózaton belül további eszközökre telepedjenek rá. Az eszközökre telepített kisméretű alkalmazások segítségével emellett nyomon követik az újságírókat.

A média munkatársait azelőtt is érték kibertámadások, mivel fontos és értékes információkhoz férhetnek hozzá politikai és társadalmi-gazdasági kérdésekben. Most azonban a támadások sokkal gyakoribbak és mélyrehatóbbak, nem valószínű, hogy a közeli jövőben alábbhagynának.

Tavaly januárja óta a Proofpoint kutatói öt kampányt azonosítottak.

A kínai APT csoport, más néven cirkónium vagy TA412 az egyesült államokbeli újságírókat célozta meg, főként azokat, akik az Egyesült Államok politikájáról és nemzetbiztonságáról tudósítanak a nemzetközi figyelmet keltő események alkalmával. Egy felderítő adathalász-kampányra a Capitolium épülete elleni január 6-i támadást közvetlenül megelőző napokban került sor, és ezalatt a támadók kifejezetten a Fehér Házban is dolgozó washingtoni tudósítókra összpontosítottak. A hackerek az újságírók szempontjából releváns cikkek tárgysorait használták csalinak. Az adathalász e-mailek tartalmaztak egy nyomkövető pixelt, egy hiperhivatkozással ellátott, nem látható, aprócska képfájlt, ami egy távoli szerverről töltődött le. Ezzel a támadással az e-mail-fiókok valódiságát, aktivitását ellenőrizték. 

A szintén kínai támogatású TA459 csoport a délkelet-ázsiai média munkatársait célozta meg rosszindulatú Royal Road RTF-mellékletet tartalmazó e-mailekkel. 

Nagyjából ebben az időben az észak-koreai TA404 csoport – ismertebb nevén Lazarus – adathalász támadásokkal vett célba egy amerikai médiaszervezetet. A csalit itt látszólag jó hírű cégektől kínált álláslehetőségek jelentették. A támadók az egyes címzetteknek testre szabott linkeket küldtek, melyek egy hamis álláshirdetésre vezettek egy ismert álláskereső portál szintén meghamisított oldalán. 

Egy feltehetően Törökország által támogatott csoport ezalatt a Twitter hitelesítő adatait célozta meg, hogy újságírók belépési adatait lopja el. Ez a kampány tipikusan a Twitter biztonságához kapcsolódó adathalász e-maileket használt, így például figyelmeztették a használókat egy gyanús bejelentkezésre, majd átirányították őket egy hamisított Twitter oldalra. A csoport emellett a török kormányzó politikai párt melletti propagandát terjesztett. 

A Proofpoint szerint aktívak voltak az Iránhoz köthető hackercsoportok is, amelyeknek tagjai jellemzően újságíróknak adták ki magukat a támadások során, hogy részt vegyenek a célpontok elleni megfigyelésben, és megszerezzék a jogosítványaikat. A támadások egyik legaktívabb elkövetője a Charming Kitten néven ismert csoport, ami újságírókat, akadémikusokat és kutatókat célzott meg úgy, hogy vitát folytatott velük külpolitikai vagy más, Közel-Kelethez kapcsolódó témákban, majd egy személyre szabott, de jóindulatú pdf-en keresztül virtuális találkozókra hívta az áldozatokat. Ez a pdf azonban már tartalmazott egy rövidített linket, amire ha az áldozat kattintott, akkor átadta IP-címét, és az már egy támadás első lépése lehet. 

Az újságíróknak mindenképpen érdemes bevezetniük néhány intézkedést. Az első, hogy használjanak megbízható, külső gyártótól származó vírusvédelmi programot számítógépeiken és telefonjaikon. Tapasztalatból írhatjuk: a G DATA szoftverei különösen alkalmasak erre a célra. 

Emellett érdemes elgondolkodni a munka és a magánélet elkülönítéséről két külön számítógépre, valamint a gépek és telefonok rendszeres fertőtlenítéséről, adattörléséről gondoskodni. 

Egyes – magas biztonsági szintet megkövetelő – szakmákban megszokott, hogy a számítógépeket és telefonokat projektekhez delegálják, majd a projektek végén törlik őket, így a két munka adatai között nem fordulhat elő átjárás. Mindez azt jelentheti, hogy ha az újságíró egy fontos anyagon dolgozik, majd a munka véget ér, akkor a szükséges megőrzendő dokumentumokat kimenti egy titkosított és védett adathordozóra, a számítógépet fertőtleníti egy minősített adattörlési szoftver segítségével, majd így kezd bele a következő munkába. Ezen a módon biztosított, hogy a gép elvesztése vagy megfertőződése esetén az adatszivárgás csak az aktuális munkát érintheti. 

Minősített adattörlési szoftverből a legismertebb a Blancco, ennek használata esetében nem egyszerű törlés történik, hanem speciális algoritmusok segítségével többszörösen felülírja a merevlemez minden területét, még az operációs rendszer elől elrejtett részeket is beleértve. 

Ugyanígy érdemes törlésről gondoskodni minden olyan esetben, amikor az újságíró számítógépe vagy telefonja illetéktelen kezekbe kerülhetett. Ilyen alkalom lehet például, amikor a szakember egy védett objektumba látogat, ahol a telefonját, számítógépét le kell adnia megőrzésre, de ilyen akár egy külföldi út is. 

Mindemellett fontos a titkosítás, titkosított tárolás: az adathordozók titkosítása mellett létre lehet hozni fájlszéfeket, amikben a bizalmas dokumentumok tárolhatóak. A leírtak megtartása nagymértékben segíti a biztonságot, incidens esetében pedig az adatszivárgás körét minimalizálja.