Google a déclaré dans un nouveau billet de blog que des pirates informatiques liés au gouvernement chinois se faisaient passer pour un logiciel antivirus McAfee pour tenter d’infecter les machines des victimes avec des logiciels malveillants. Et, selon Google, les pirates semblent être le même groupe qui a sans succès ciblé la campagne présidentielle de l’ancien vice-président Joe Biden avec une attaque de phishing plus tôt cette année. Un groupe similaire de pirates informatiques basé en Iran avait tenté de cibler la campagne du président Trump, mais sans succès.

Le groupe, que Google appelle APT 31 (abréviation de Advanced Persistent Threat), enverrait par e-mail des liens aux utilisateurs qui téléchargeraient des logiciels malveillants hébergés sur GitHub, permettant à l’attaquant de télécharger et de télécharger des fichiers et d’exécuter des commandes. Étant donné que le groupe a utilisé des services tels que GitHub et Dropbox pour mener les attaques, il a été plus difficile de les suivre.

«Chaque élément malveillant de cette attaque a été hébergé sur des services légitimes, ce qui rend plus difficile pour les défenseurs de se fier aux signaux du réseau pour la détection», a écrit le chef du groupe d’analyse des menaces de Google, Shane Huntley, dans le billet de blog.

Google

Dans l’escroquerie d’usurpation d’identité McAfee, le destinataire de l’e-mail serait invité à installer une version légitime du logiciel McAfee à partir de GitHub, tandis que dans le même temps, un logiciel malveillant était installé sans que l’utilisateur en soit conscient. Huntley a noté que chaque fois que Google détecte qu’un utilisateur a été victime d’une attaque soutenue par le gouvernement, il lui envoie un avertissement.

Le billet de blog ne mentionne pas qui a été affecté par les dernières attaques de l’APT-31, mais a déclaré qu’il y avait eu «une attention accrue sur les menaces posées par les APT dans le contexte des élections américaines». Google a partagé ses conclusions avec le FBI.