Menu

Google a envoyé aux utilisateurs 40000 avertissements d’attaques par piratage d’État-nation en 2019

27 mars 2020 - Technologies
Google a envoyé aux utilisateurs 40000 avertissements d’attaques par piratage d’État-nation en 2019


Projection Mercator à code couleur du monde.

Le groupe d’analyse des menaces de Google, qui contrecarre le piratage ciblé et soutenu par le gouvernement contre l’entreprise et ses utilisateurs, a envoyé près de 40000 avertissements aux titulaires de compte en 2019, les responsables gouvernementaux, les journalistes, les dissidents et les rivaux géopolitiques étant les plus ciblés, ont déclaré les membres de l’équipe jeudi. .

Le nombre d’avertissements a diminué de près de 25% par rapport à 2018, en partie à cause des nouvelles protections conçues pour freiner les cyberattaques sur les propriétés de Google. Les attaquants ont réagi en réduisant la fréquence de leurs tentatives de piratage et en étant plus délibéré. Le groupe a constaté une augmentation des attaques de phishing qui ont usurpé l’identité des médias et des journalistes. Dans bon nombre de ces cas, les attaquants ont tenté de diffuser la désinformation en tentant de semer de fausses histoires avec d’autres journalistes. D’autres fois, les agresseurs ont envoyé plusieurs messages bénins dans l’espoir de nouer des relations avec un journaliste ou un expert en politique étrangère. Les assaillants, qui venaient le plus souvent d’Iran et de Corée du Nord, ont ensuite donné suite à un e-mail contenant une pièce jointe malveillante.

«Les attaquants soutenus par le gouvernement ciblent régulièrement des experts de la politique étrangère pour leurs recherches, l’accès aux organisations avec lesquelles ils travaillent et leurs relations avec leurs collègues chercheurs ou décideurs politiques pour des attaques ultérieures», Toni Gidwani, responsable de l’ingénierie de sécurité au sein du groupe d’analyse des menaces, a écrit dans un article.

Principales cibles

Les pays dont les résidents ont collectivement reçu plus de 1 000 avertissements sont les États-Unis, l’Inde, le Pakistan, le Japon et la Corée du Sud. Le message de jeudi est venu huit mois après que Microsoft a annoncé avoir averti 10 000 clients d’attaques parrainées par le pays au cours des 12 mois précédents. Le fabricant de logiciels a déclaré avoir vu une activité «étendue» de cinq groupes spécifiques parrainés par l’Iran, la Corée du Nord et la Russie.

Le message de jeudi a également retracé les attaques ciblées menées par Sandworm, qui serait un groupe d’attaque travaillant pour le compte de la Fédération de Russie. Sandworm a été responsable de certaines des attaques les plus graves au monde, y compris des piratages d’installations électriques ukrainiennes qui ont laissé le pays sans électricité en 2015 et 2016, l’OTAN et les gouvernements d’Ukraine et de Pologne en 2014, et selon le journaliste de Wired Andy Greenberg, le malware NotPetya qui a créé des pannes dans le monde entier, dont certaines ont duré des semaines.

Le graphique suivant montre le ciblage de Sandworm sur divers secteurs et pays de 2017 à 2019. Bien que le ciblage de la plupart des secteurs ou des pays ait été sporadique, l’Ukraine a été la cible d’attaques pendant toute la période de trois ans:

Efforts de ciblage de Sandworm (principalement par secteur) au cours des trois dernières années.
Agrandir / Efforts de ciblage de Sandworm (principalement par secteur) au cours des trois dernières années.

Google

Suivi des jours zéro

En 2019, le groupe Google a découvert des vulnérabilités zero-day affectant Android, iOS, Windows, Chrome et Internet Explorer. Un seul groupe d’attaque était responsable de l’exploitation de cinq des failles de sécurité non corrigées. Les attaques ont été utilisées contre Google, les titulaires de compte Google et les utilisateurs d’autres plates-formes.

« Il est rare de trouver autant d’exploits du jour sur le même acteur dans un laps de temps relativement court », a écrit Gidwani.

Les exploits provenaient de sites Web légitimes qui avaient été piratés, de liens vers des sites Web malveillants et de pièces jointes intégrées dans des e-mails de spear-phishing. La plupart des cibles se trouvaient en Corée du Nord ou visaient des personnes travaillant sur des questions liées à la Corée du Nord.

La politique du groupe consiste à informer en privé les développeurs des logiciels concernés et à leur donner sept jours pour publier un correctif ou publier un avis. Si les entreprises ne respectent pas ce délai, Google publie son propre avis.

Une observation que les utilisateurs de Google doivent noter: de toutes les attaques de phishing que la société a connues ces dernières années, aucune n’a abouti à une prise de contrôle de comptes protégés par le programme de protection des comptes, ce qui rend entre autres l’authentification multifactorielle obligatoire. Une fois que les gens ont deux clés de sécurité physiques de Yubi ou d’un autre fabricant, l’inscription au programme prend moins de cinq minutes.