Google a mis en garde contre une recrudescence de l’activité des pirates informatiques soutenus par des gouvernements cette année, notamment les attaques d’un groupe iranien dont les cibles comprenaient une université britannique.
Le groupe de recherche a déclaré que jusqu’à présent, en 2021, il avait envoyé plus de 50 000 avertissements aux titulaires de comptes pour les informer qu’ils avaient été la cible de tentatives d’hameçonnage ou de logiciels malveillants soutenus par le gouvernement. Cela représente une augmentation d’un tiers par rapport à la même période l’année dernière, a déclaré Google dans un billet de blog, cette hausse étant attribuée à une « campagne d’une ampleur inhabituelle » menée par un groupe de pirates russes connu sous le nom d’APT28, ou Fancy Bear.
Sommaire
L’aide de Google contre le piratage
Toutefois, le billet de Google se concentre sur un groupe lié aux Gardiens de la révolution iranienne, connu sous le nom d’APT35, ou Charming Kitten, qui mène régulièrement des attaques de phishing – où, par exemple, un courriel est utilisé pour inciter quelqu’un à fournir des informations sensibles ou pour installer des logiciels malveillants.
« Il s’agit de l’un des groupes que nous avons perturbés pendant le cycle électoral américain de 2020 pour avoir ciblé des membres du personnel de campagne », écrit Ajax Bash, du groupe d’analyse des menaces de Google. « Pendant des années, ce groupe a détourné des comptes, déployé des logiciels malveillants et utilisé des techniques inédites pour mener un espionnage aligné sur les intérêts du gouvernement iranien. »
Lors d’une attaque début 2021, APT35 a attaqué un site web affilié à une université britannique en utilisant une technique éprouvée : diriger les utilisateurs vers une page web compromise où ils étaient encouragés à se connecter via leur fournisseur de services de messagerie – Gmail, Hotmail ou Yahoo par exemple – afin de visualiser un webinaire. Les utilisateurs étaient également invités à fournir des codes d’authentification à deux facteurs, qui allaient directement à APT35.
Piratages liés à des États
Google n’a pas cité le nom de l’université britannique, mais en juillet, il a été signalé que la School of Oriental and African Studies (Soas), de l’Université de Londres, avait été ciblée par APT35 au début de 2021. L’attaque a commencé par un faux courriel d’un universitaire de Soas invitant les gens à un webinaire, amorçant une chaîne d’interactions qui a conduit à une page factice sur le site Web de la radio de l’université qui a trompé les victimes du phishing en les incitant à donner leurs noms d’utilisateur et mots de passe de messagerie. En juillet, M. Soas a déclaré que l’attaque n’avait pas permis d’accéder à des informations ou des données personnelles.
« Dès que nous avons eu connaissance du site factice au début de l’année, nous avons immédiatement remédié à la violation et l’avons signalée de la manière habituelle. Nous avons examiné comment cela s’est passé et pris des mesures pour améliorer encore la protection de ces systèmes périphériques », a déclaré M. Soas.
Faisant référence à l’attaque de l’université britannique, Bash a déclaré : « APT35 s’appuie sur cette technique depuis 2017 – en ciblant des comptes de grande valeur dans le gouvernement, le milieu universitaire, le journalisme, les ONG, la politique étrangère et la sécurité nationale. L’hameçonnage de justificatifs par le biais d’un site Web compromis démontre que ces attaquants se donneront beaucoup de mal pour paraître légitimes – car ils savent qu’il est difficile pour les utilisateurs de détecter ce type d’attaque. »
L’article de blog détaille d’autres formes d’attaques menées par APT35. Il s’agit notamment des tentatives de téléchargement de logiciels espions sur la boutique Google Play, où les utilisateurs de téléphones Android peuvent acheter des applications ; de l’usurpation de l’identité de responsables de conférences pour mener des attaques de phishing ; et de l’utilisation d’un robot sur le service de messagerie Telegram pour signaler aux utilisateurs qu’ils sont entrés sur un site de phishing, bien que Google ait déclaré que Telegram s’était depuis attaqué à cette ruse.