L'année dernière, le groupe d'analyse des menaces (TAG) de Google a envoyé près de 40000 avertissements aux utilisateurs dont les comptes étaient ciblés par des tentatives de phishing ou de logiciels malveillants soutenus par le gouvernement.
TAG travaille pour contrer le piratage ciblé et soutenu par le gouvernement contre le géant de la recherche et ses utilisateurs. Alors que 40000 avertissements peuvent sembler beaucoup, ce chiffre représente en fait une baisse de près de 25% du nombre d'avertissements envoyés par Google en 2018.
Après avoir examiné les tentatives de phishing qui ont eu lieu depuis le début de cette année, Google a révélé qu'il avait vu un nombre croissant d'attaquants, y compris ceux d'Iran et de Corée du Nord, se faire passer pour des médias ou des journalistes. Souvent, un attaquant usurpe l'identité d'un journaliste pour semer de fausses histoires avec d'autres journalistes dans le but de répandre la désinformation tandis que dans d'autres cas, les attaquants envoient plusieurs courriels pour établir un rapport avec un journaliste avant d'envoyer une pièce jointe malveillante dans un courriel de suivi.
Sommaire
Suivi des vulnérabilités zero-day
Les vulnérabilités Zero Day sont des failles logicielles inconnues qui peuvent être exploitées par des attaquants jusqu'à ce qu'elles soient identifiées et corrigées. TAG recherche activement ces types d'attaques car elles sont particulièrement dangereuses et ont un taux de réussite élevé.
Rien qu'en 2019, TAG a découvert des vulnérabilités zero-day dans un certain nombre de plates-formes et de logiciels, notamment Android, Chrome, iOS, Internet Explorer et Windows. Récemment, le groupe a été reconnu pour avoir identifié une vulnérabilité d'exécution de code à distance dans Internet Explorer identifiée comme CVE-2020-0674.
L'année dernière, TAG a découvert qu'un seul acteur de la menace exploitait cinq vulnérabilités zero-day différentes, ce qui est assez rare à faire dans un laps de temps relativement court. Les exploits ont été livrés à l'aide de sites Web légitimes compromis, de liens vers des sites Web malveillants et de pièces jointes envoyées dans des campagnes de phishing. La majorité des cibles de ces attaques provenaient soit de la Corée du Nord, soit de personnes qui travaillaient sur des questions liées à la Corée du Nord.
Le responsable de l'ingénierie de sécurité du TAG de Google, Toni Gidwani, a expliqué dans un article de blog que le groupe continuerait de suivre les mauvais acteurs et de partager les informations qu'il découvre, en disant:
«Notre groupe d'analystes des menaces continuera d'identifier les mauvais acteurs et de partager les informations pertinentes avec d'autres acteurs de l'industrie. Notre objectif est de sensibiliser à ces questions pour vous protéger et combattre les mauvais acteurs pour prévenir de futures attaques. Dans une future mise à jour, nous fournirons des détails sur les attaquants utilisant des leurres liés à COVID-19 et le comportement attendu que nous observons (tous dans la plage normale d'activité des attaquants) »