Google a mis en garde environ 14 000 de ses utilisateurs contre le fait d’être ciblés dans une campagne de phishing parrainée par l’État d’APT28, un groupe menaçant lié à la Russie.
La campagne a été détectée fin septembre et représente un lot plus important que d’habitude de notifications d’attaques soutenues par le gouvernement que Google envoie chaque mois aux utilisateurs ciblés.
Hameçonnage d’ours fantaisie
Shane Huntley, qui est à la tête du groupe d’analyse des menaces (TAG) de Google qui répond au piratage soutenu par le gouvernement, note que le nombre d’alertes plus élevé que d’habitude ce mois-ci provient « d’un petit nombre de campagnes largement ciblées qui ont été bloqué. »
La campagne d’APT28, également connue sous le nom de Fancy Bear, a entraîné un plus grand nombre d’avertissements pour les utilisateurs de Gmail dans divers secteurs.
Dans une déclaration envoyée par un porte-parole de Google, Huntley dit que la campagne de phishing de Fancy Bear représente 86% de tous les avertissements par lots diffusés ce mois-ci.
Il explique que ces notifications indiquent un ciblage du destinataire, et non une compromission de son compte Gmail.
«Alors pourquoi faisons-nous ces avertissements du gouvernement alors? L’avertissement indique vraiment principalement aux gens que vous êtes une cible potentielle pour la prochaine attaque, donc c’est peut-être le bon moment pour prendre des mesures de sécurité » – Shane Huntley
Huntley dit que ces avertissements sont normaux pour des individus tels que des militants, des journalistes, des représentants du gouvernement ou des personnes qui travaillent dans des structures de sécurité nationale, car ce sont les entités soutenues par le gouvernement qui ciblent.
Tous les e-mails de phishing de la campagne Fancy Bear ont été bloqués par Gmail et n’ont pas atterri dans les boîtes de réception des utilisateurs car ils ont été automatiquement classés comme spam.
« Comme nous l’avons expliqué précédemment, nous envoyons intentionnellement ces notifications par lots, plutôt qu’au moment où nous détectons la menace elle-même, afin que les attaquants ne puissent pas suivre certaines de nos stratégies de défense », a déclaré Huntley.
L’APT28 opère depuis au moins 2004 pour le compte de l’unité militaire 26165 de la Direction générale du renseignement (GRU) de l’état-major général russe (GTsSS).
Le groupe est généralement engagé dans des activités de vol de données et d’espionnage. Parmi ses cibles les plus récentes figurent membres du Bundestag, le parlement fédéral allemand et de la Parlement norvégien.
L’objectif de Google avec ces alertes est d’informer les individus qu’ils sont ciblés afin qu’ils puissent améliorer leurs défenses. La recommandation de l’entreprise est de s’inscrire au Programme de protection avancée pour le travail et la messagerie personnelle.
