Çin, Kuzey Kore, İran ve Türkiye’den APT gruplarının faaliyetlerini izleyen araştırmacılar, gazetecilerin ve medya kuruluşlarının devlet destekli aktörler için sürekli bir hedef olmaya devam ettiğini söylüyor.
Gelişmiş kalıcı tehdit adı verilen APT grupları sürekli, gizli ve gelişmiş hackerlık tekniklerini kullanarak bir sisteme erişip burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre kalıyor.
Tehdit aktörleri, siber casusluk operasyonunu genişletmeye yardımcı olabilecek kamuya açık olmayan bilgilere erişebildikleri için bu hedeflere saldırabiliyorlar.
Kolay Erişim
EN YENİ TAKTİKLER
2021-2022 arası dönemde bu faaliyetleri takip eden Proofpoint analistleri gazeteci gibi davranan veya doğrudan gazetecileri hedef alan birkaç APT grubu hakkında bir rapor yayınladılar. ‘Zirconium’ (TA412) olarak bilinen Çin bağlantılı tehdit aktörünün, mesajlara erişildiğinde uyarı veren izleyiciler içeren e-postalarla 2021’in başından bu yana Amerikalı gazetecileri hedef aldığı doğrulandı.
Bu basit taktik aynı zamanda tehdit aktörünün kurbanın konumu ve internet servis sağlayıcısı (ISS) gibi daha fazla bilgi toplayabileceği hedefin genel IP adresini elde etmesine de izin verdi. Şubat 2022’ye kadar Zirkonyum, gazetecileri hedef alan kampanyalara aynı taktiklerle devam etti ve temelde Rusya-Ukrayna savaşı hakkında yayın yapan gazetecilere odaklandı.
Türk gazeteciyi de hedef alan hacker çetesinin sahte delil yöntemleri ortaya çıktı
Nisan 2022’de Proofpoint, TA459 olarak izlenen bir başka Çinli APT grubunun, açıldığında Chinoxy kötü amaçlı yazılımının bir kopyasını bırakan RTF dosyalarıyla muhabirleri hedeflediğini gözlemledi. Bu grup Afganistan’daki dış politika konularına odaklanan medya mensuplarını hedef aldı.
TÜRK HACKER GRUPLARI GAZETECİLERİN SOSYAL MEDYA HESAPLARINI ÇALIYOR
TA404 grubuna bağlı Kuzey Koreli bilgisayar korsanlarının da 2022 baharında sahte iş ilanlarını yem olarak kullanmak suretiyle medya çalışanlarını hedef aldıkları tespit edildi. TA482 adıyla bilinen Türk tehdit aktörleri de gazetecilerin sosyal medya hesaplarını çalmaya odaklı “kimlik avı” kampanyaları düzenledi.
Öte yandan, hackerların hepsi gazeteci hesaplarına erişme amacı gütmüyor. Bunun yerine, bazıları işin kolayına kaçıp doğrudan hedeflerine ulaşmak için muhabir gibi davranmaya yöneliyor. Proofpoint bu taktiğin özellikle TA453 (nam-ı diğer Charming Kitten) gibi akademisyenlere ve Orta Doğu uzmanlarına muhabir kılığında e-posta gönderen İranlı aktörler tarafından uygulandığını tespit etti.
Başka bir örnek de, e-postalarını Guardian veya Fox news’den gelen haber bültenleri gibi gösteren ve hedefe kötü amaçlı yazılım yerleştirmek isteyen TA456 (Tortoiseshell).
Son olarak Proofpoint, Eylül 2021 ile Mart 2022 arasında iki ila üç haftada bir medya mensuplarını hedef alan kampanyalar başlatan İranlı hacker grubu TA457’nin faaliyetlerine dikkat çekiyor.
APT’lerin kimlik avı hileleri, kötü amaçlı yazılım yerleştirme ve çeşitli sosyal mühendislik taktiklerini kullanarak gazetecileri hedeflemeye devam etmesi bekleniyor.