Google a dit dans un nouveau billet de blog que des pirates informatiques liés au gouvernement chinois se font passer pour le logiciel antivirus McAfee pour tenter d’infecter les machines des victimes avec des logiciels malveillants. Et, dit Google, les pirates semblent être les même groupe qui a ciblé sans succès la campagne présidentielle de l’ancien vice-président Joe Biden avec une attaque de phishing plus tôt cette année. Un groupe similaire de pirates informatiques basé en Iran avait tenté de cibler la campagne du président Trump, mais sans succès.

Le groupe, que Google appelle APT 31 (abréviation de Advanced Persistent Threat), enverrait par e-mail des liens aux utilisateurs qui téléchargeraient des logiciels malveillants hébergés sur GitHub, permettant à l’attaquant de télécharger et de télécharger des fichiers et d’exécuter des commandes. Étant donné que le groupe a utilisé des services comme GitHub et Dropbox pour mener les attaques, il a été plus difficile de les suivre.

«Chaque élément malveillant de cette attaque a été hébergé sur des services légitimes, ce qui rend plus difficile pour les défenseurs de se fier aux signaux du réseau pour la détection», a écrit le responsable du groupe d’analyse des menaces de Google, Shane Huntley, dans le billet de blog.

Publicité

Google

Dans l’escroquerie d’usurpation d’identité de McAfee, le destinataire de l’e-mail serait invité à installer une version légitime du logiciel McAfee à partir de GitHub, tandis que dans le même temps, un logiciel malveillant était installé à l’insu de l’utilisateur. Huntley a noté que chaque fois que Google détecte qu’un utilisateur a été victime d’une attaque soutenue par le gouvernement, il lui envoie un avertissement.

Le billet de blog ne mentionne pas qui a été affecté par les dernières attaques de l’APT-31, mais a déclaré qu’il y avait eu «une attention accrue sur les menaces posées par les APT dans le contexte des élections américaines». Google a partagé ses conclusions avec le FBI.