Об этом в блоге написал Шейн Хантли (Shane Huntley), руководитель группы анализа угроз Google.

TAG отслеживает более 270 целевых или поддерживаемых государством групп из более чем 50 стран. У этих групп много целей: сбор разведданных, кража интеллектуальной собственности, кибератаки или распространение дезинформации.

Фишинг

“У нас есть давняя политика – отправка пользователям предупреждений, если мы обнаруживаем, что они являются предметом спонсируемых государством попыток фишинга. С июля по сентябрь 2019 года мы отправили более 12 000 предупреждений пользователям в 149 странах о том, что они стали жертвами нападений, поддерживаемых правительством. Это соответствует (+/- 10%) количеству предупреждений, отправленных за тот же период 2018 и 2017 годов”, – отметил Хантли.

Аналитики компании также составили карту, где видно, что больше всего уведомлений получили жители США и Пакистана.

TAG сообщает, что чаще всего целью атаки становилось получение пароля или других данных пользователей для взлома их учетных записей в различных продуктах Google.

“Мы призываем пользователей, в частности журналистов, правозащитников и политические кампании, зарегистрироваться в нашей Программе расширенной защиты (APP), которая использует аппаратные ключи безопасности и обеспечивает самую надежную защиту от фишинга и взлома учетных записей. Приложение разработано специально для учетных записей с высоким уровнем риска”, – говорится в отчете.

Обнаружение угрозы

Ранее Google представила анализ работы хакерской группы из России Sandworm, которая также известна под именем Iridium. Она в 2017 году начала наполнение магазина приложений Google Play зловредными программами для Android.

Большая часть деятельности Sandworm направлена на Украину, хотя изначально они были нацелены на Южную Корею. Для заражения гаджетов пользователей члены Sandworm модифицировали безвредные приложения для Android. Дополненные зловредными компонентами программы загружали в Play Store. Всего Sandworm загрузила восемь таких модифицированных программ.

В сентябре 2017 года Sandworm использовали подобную тактику, загрузив в Google Play поддельную версию почтового клиента UKR.net. Это приложение скачало приблизительно 1000 пользователей. В ноябре 2018 года Sandworm перешел от использования учетных записей к попытке загружать вредоносные приложения для компрометации официальных разработчиков. В течение ноября для Sandworm целью были разработчики программного обеспечения и мобильных приложений в Украине.

Злоумышленники попытались распространять зловредный код через одна из программ с 200 тысячами установок. Пользователи не пострадали, так как Google заблокировал злоумышленников когда они загружали модифицированное приложение в Google Play.

В отчете говорится, что Google передает соответствующую информацию об угрозах со стороны хакеров правоохранительным органам стран и компаниям в сфере кибербезопасности.

Вот несколько примеров:

Группа обнаружила распространение недостоверной информации, связанной с Россией и направленной против нескольких стран в Африке. Так, были обнаружены фейковые новостные издания для распространения новостей, пропагандирующих российские интересы в Африке. Целевые страны: Центральноафриканская Республика, Судан, Мадагаскар и Южная Африка.

TAG также обнаружила информационную кампанию, нацеленную на индонезийские провинции Папуа и Западную Папуа, с сообщениями от оппозиции Движение за свободную Папуа. Google закрыл один рекламный аккаунт и 28 каналов YouTube.

Партнерские отношения

“TAG тесно сотрудничает с другими технологическими компаниями, в том числе с платформами и специализированными фирмами по обеспечению кибербезопасности. Мы также передаем информацию об угрозах правоохранительным органам… В дальнейшем наша цель – предоставлять больше информации о атаках, которые TAG обнаруживает и останавливает”, – подытожил Шейн Хантли.

  • В феврале издание Politiko писало, что Украина стала виртуальной линией фронта и полигоном для кибератак.