Pour déjouer les hackers russes, voici comment Google renforce sa sécurité

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 05 mai 2022 à 14h15
Capture d'écran d'une des campagnes de phishing qui visent des utilisateurs ukrainiens (© Google)
Capture d'écran d'une des campagnes de phishing qui visent des utilisateurs ukrainiens (© Google)

Le groupe d'analyse des menaces de Google s'active pour surveiller de près l'activité cyber en Europe de l'Est directement liée à la guerre en Ukraine.

Depuis le début de la guerre en Ukraine, Google mobilise ses chercheurs en cybersécurité pour tenter de protéger les infrastructures et les habitants sur place des attaques cyber menées par des acteurs étrangers, souvent étatiques. Le Google's Threat Analysis Group (TAG ou groupe d'analyse des menaces) a d'ailleurs observé depuis un mois une hausse du nombre d'acteurs malveillants se servant de la guerre comme d'un leurre pour lancer des campagnes de phishing et de diffusion de malwares.

Les infrastructures critiques de plus en plus ciblées

La branche cyber de Google nous explique que des acteurs affiliés aux gouvernements de Chine, de Russie, d'Iran ou encore de Corée du Nord ont utilisé, ces dernières semaines et ces derniers mois, divers thèmes liés à la guerre en Ukraine, pour pousser des cibles à ouvrir des e-mails contenant des pièces jointes ou des liens malveillants.

Depuis plusieurs semaines, les attaquants ciblent de plus en plus des entités issues de secteurs comme le gaz, le pétrole, la fabrication et les télécommunications, qui hébergent tous des infrastructures critiques.

Parmi les groupes et acteurs de la menace, on retrouve ATP28, ou Fancy Bear. Affilié à la direction générale des renseignements de l'État-Major russe, il vise des utilisateurs ukrainiens en utilisant une nouvelle variante de malware. Celui-ci est distribué via un exécutable en .Net, contenu dans des fichiers zip protégés par mot de passe que l'on retrouve en pièces jointes dans des e-mails. Une fois exécuté, le malware vole cookies et autres mots de passe enregistrés sur les navigateurs Chrome, Firefox et Edge. Ensuite, il exfiltre les données vers un compte de messagerie compromis.

Plusieurs groupes malveillants sévissent en Ukraine et dans la région

Autre groupe particulièrement actif : Turla. S'il est rattaché au FSB russe (le service fédéral de sécurité), il mène ses campagnes contre les pays baltes, en visant plus particulièrement les organisations cyber et de défense de la région. Généralement, le groupe envoie un e-mail piégé contenant un lien qui pousse l'utilisateur à ouvrir un fichier DOCX hébergé sur une infrastructure contrôlée par l'attaquant qui, une fois ouvert, tente de télécharger un fichier PNG depuis cette même infrastructure.

COLDRIVER, aussi connu sous le nom de Callisto, utilise des comptes Gmail pour envoyer ses e-mails de phishing d'informations d'identification, aussi bien à destination de comptes Google que d'autres comptes. Basé en Russie, le groupe derrière COLDRIVER vise davantage des acteurs institutionnels, tels que des politiciens, responsables gouvernementaux, ONG, think tanks et journalistes. Généralement, il procède à ses méfaits en envoyant des liens de phishing dans des e-mails, liens qui redirigent les utilisateurs vers des fichiers PDF ou DOC hébergés sur Google Drive et Microsoft One Drive, mais qui abritent un lien vers un domaine contrôlé par l'attaquant. La firme de Mountain View indique avoir bloqué les domaines via son service d'identification des sites web dangereux, Google Safe Browsing.

Capture d'écran de campagnes de phishing visant des utilisateurs ukrainiens (© Google)
Capture d'écran de campagnes de phishing visant des utilisateurs ukrainiens (© Google)

Parmi les autres groupes, Google évoque l'intense activité de l'acteur biélorusse Ghostwriter, qui cible des comptes Gmail ou Facebook détenus par des personnes à haut risque en Ukraine ; ou celle du groupe Curious Gorge, rattaché à la Chine et à la Force de soutien stratégique de l'Armée populaire de libération, qui s'en prend à des organisations militaires, gouvernementales et logistiques situées en Ukraine, en Russie et en Asie centrale.

Source : Blog Google

Par Alexandre Boero
Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (2)
Jean_Page

Au gran dam des utilisateurs malheureusement. Dans moins de 30 jours Google va fermer l’acces publique a son serveur smtp.

Beaucoups d’apps et des scripts vont se retrouver les fesses a l’eau sans maj.

pecore

Tant que la menace était assez discrète pour ne pas trop se voir ou se sentir, les acteurs du numérique préféraient laisser courir et laisser usagers la responsabilité de se protéger et de ne ouvrir n’importe quoi (ce qui n’est pas faux d’ailleurs).
Maintenant que cette menace est étalée au grand jour, pas le choix que de réagir pour ne pas être accusé de complicité par inaction. Cela vient se rajouter à la longue liste des effets imprévus de l’invasion de l’Ukraine qui auront potentiellement un effet durable sur nos modes de fonctionnement.