L'anno scorso, il Threat Analysis Group (TAG) di Google ha inviato quasi 40,000 avvisi agli utenti i cui account sono stati presi di mira da malware sostenuti dal governo e tentativi di phishing. TAG sta lavorando per contrastare l'hacking diretto dal governo contro il gigante della ricerca e i suoi utenti. Sebbene 40,000 avvisi possano sembrare tanti, quel numero rappresenta in realtà un calo di quasi il 25% nel numero di avvisi inviati da Google nel 2018. L'azienda attribuisce il merito al suo programma di protezione avanzata (APP) e al fatto che gli sforzi di Google sono più deliberati nei loro tentativi di hacking come ragioni per il calo degli avvisi inviati lo scorso anno. Dopo aver esaminato i tentativi di phishing avvenuti dall'inizio di quest'anno, Google ha rivelato di aver visto un numero crescente di aggressori, compresi quelli provenienti da Iran e Corea del Nord, travestiti da media o giornalisti. Spesso un utente malintenzionato si finge giornalista per seminare storie false con altri giornalisti al fine di diffondere disinformazione, mentre in altri casi gli aggressori inviano più e-mail per stabilire una relazione con un giornalista prima di inviare un allegato dannoso in un'e-mail di follow-up.
Monitoraggio della vulnerabilità zero-day
Le vulnerabilità zero-day sono vulnerabilità software sconosciute che gli aggressori possono sfruttare fino a quando non vengono identificate e risolte. TAG cerca attivamente questo tipo di attacchi perché sono particolarmente pericolosi e hanno un alto tasso di successo. Solo nel 2019, TAG ha scoperto vulnerabilità zero-day in una serie di piattaforme e software, tra cui Android, Chrome, iOS, Internet Explorer e Windows. Il gruppo è stato recentemente riconosciuto per aver identificato una vulnerabilità di esecuzione di codice in modalità remota in Internet Explorer identificata come CVE-2020-0674. L'anno scorso, TAG ha scoperto che un singolo attore di minacce stava sfruttando cinque diverse vulnerabilità zero-day, il che è piuttosto raro in un periodo di tempo relativamente breve. Gli exploit sono stati forniti utilizzando siti Web legittimi compromessi, collegamenti a siti Web dannosi e allegati inviati in campagne di phishing. La maggior parte degli obiettivi di questi attacchi proviene dalla Corea del Nord o da persone che lavorano su questioni relative alla Corea del Nord. Il responsabile dell'ingegneria della sicurezza TAG di Google, Toni Gidwani, ha dichiarato in un post sul blog che il gruppo seguirà i malintenzionati e condividerà le informazioni che scopre, dicendo: "Il nostro gruppo di analisti delle minacce continuerà a identificare i giocatori sbagliati". altri attori del settore. Il nostro obiettivo è aumentare la consapevolezza di questi problemi per proteggerti e combattere i malintenzionati per prevenire attacchi futuri. In un aggiornamento futuro, forniremo dettagli sugli aggressori che utilizzano esche correlate a COVID-19 e il comportamento previsto che stiamo vedendo (tutti all'interno della normale gamma di attività degli aggressori)."