Google a mis en garde contre une augmentation de l’activité des pirates informatiques soutenus par le gouvernement cette année, y compris les attaques d’un groupe iranien dont les cibles comprenaient une université britannique.
Le groupe de recherche a déclaré que jusqu’à présent en 2021, il avait envoyé plus de 50 000 avertissements aux titulaires de comptes qu’ils avaient été la cible de tentatives de phishing ou de logiciels malveillants soutenues par le gouvernement. Cela représente une augmentation d’un tiers par rapport à la même période l’année dernière, a déclaré Google dans un article de blog, l’augmentation étant attribuée à une « campagne inhabituellement importante » menée par un groupe de piratage informatique russe connu sous le nom d’APT28, ou Fancy Bear.
Cependant, le Google article axé sur un groupe lié aux gardiens de la révolution iraniens, connu sous le nom d’APT35, ou Charming Kitten, qui mène régulièrement des attaques de phishing – où, par exemple, un e-mail est utilisé pour amener quelqu’un à transmettre des informations sensibles ou à installer des logiciels malveillants.
« C’est l’un des groupes que nous perturbé pendant le cycle électoral américain de 2020 pour son ciblage des membres du personnel de campagne », a écrit Ajax Bash, du groupe d’analyse des menaces de Google. « Pendant des années, ce groupe a détourné des comptes, déployé des logiciels malveillants et utilisé de nouvelles techniques pour mener des activités d’espionnage alignées sur les intérêts du gouvernement iranien. »
Lors d’une attaque au début de 2021, APT35 a attaqué un site Web affilié à une université britannique en utilisant une technique éprouvée : diriger les utilisateurs vers une page Web compromise où ils ont été encouragés à se connecter via leur fournisseur de services de messagerie – Gmail, Hotmail ou Yahoo par exemple – pour visionner un webinaire. Les utilisateurs ont également été invités à fournir des codes d’authentification à deuxième facteur, qui vont directement à APT35.
Google n’a pas nommé l’université britannique mais en juillet Il a été rapporté que la School of Oriental and African Studies (Soas), Université de Londres, avait été la cible de l’APT35 au début de 2021. L’attaque a commencé par un faux e-mail d’un universitaire de Soas invitant des personnes à un webinaire, démarrant une chaîne d’interactions qui a conduit à une page factice sur le site Web de la radio de l’université qui a incité les victimes de phishing à remettre leurs noms d’utilisateur et mots de passe de messagerie. Soas a déclaré en juillet que l’attaque n’avait pas accédé à des informations ou données personnelles.
« Une fois que nous avons eu connaissance du site fictif plus tôt cette année, nous avons immédiatement remédié et signalé la violation de la manière habituelle. Nous avons examiné comment cela s’est produit et pris des mesures pour améliorer encore la protection de ces… systèmes périphériques », Soas mentionné.
Se référant à l’attaque d’une université britannique, Bash a déclaré: «APT35 s’est appuyé sur cette technique depuis 2017 – ciblant les comptes de grande valeur au sein du gouvernement, des universités, du journalisme, des ONG, de la politique étrangère et de la sécurité nationale. Le phishing d’identifiants via un site Web compromis démontre que ces attaquants mettront tout en œuvre pour paraître légitimes, car ils savent qu’il est difficile pour les utilisateurs de détecter ce type d’attaque.
L’article de blog détaille d’autres formes d’attaques d’APT35. Il s’agit notamment de : tenter de télécharger des logiciels espions sur le Google Play Store, où les utilisateurs de téléphones Android peuvent acheter des applications ; usurper l’identité des responsables de la conférence pour mener des attaques de phishing ; et en utilisant un bot sur le service de messagerie Telegram pour avertir lorsque des utilisateurs sont entrés sur un site de phishing, bien que Google ait déclaré que Telegram s’était depuis attaqué à cette ruse.
