2019年第三季度谷歌用户受国家黑客攻击的情况披露

谷歌威胁分析团队 (TAG) 发布2019年第三季度谷歌产品如 Gmail、Drive、YouTube等及其用户遭受针对性及受政府支持黑客攻击的报告。奇安信代码卫士翻译如下：

TAG 团队致力于抗击攻击谷歌及其用户的针对性及受政府支持的黑客活动。十年来我们一直深入研究这一领域，日常工作包括检测并击败威胁并向遭攻击的一系列谷歌产品（如 Gmail、Drive 和 YouTube）用户和客户发出关于全球最复杂对手的警告。

此前我们说明了关于钓鱼活动、漏洞和散播虚假消息的问题。之后，我们将分享更多技术详情和数据，说明我们检测到的威胁情况以及应对它们的方式以促成更广泛的数字化安全的讨论氛围。

TAG追踪的针对性或受政府支持的组织共计超过270个，遍布全球50多个国家。这些组织的目标多种多样，包括收集情报信息、窃取知识财产、打击异见人士和活动家、发动破坏性网络攻击或者协同传播虚假信息。我们收集这些情报，来保护被恶意软件或钓鱼活动盯上的谷歌基础设施以及谷歌用户。

钓鱼活动

一直以来我们的政策就是如果检测到用户遭国家黑客组织的攻击，那么我们就会向用户发出警告信息。我们一直都在定期发布这种情况。从2019年7月到9月期间，我们向遍布149个国家的用户发送了超过1.2万次这类警告信息。这个2017年以及2018年同期发送的警告数量是一致的(+/-10%)。

这些用户中，超过90%的用户都遭到和如下案例中类似的“凭证钓鱼邮件”的攻击。通常，这些钓鱼邮件试图获取目标的密码或其它账户凭证以劫持用户账户。我们鼓励高风险用户如记者、人权活动家和政治活动注册“高级防护计划 (Advanced Protection Program (APP)”，通过硬件安全密钥提供强有力的钓鱼劫持和账户劫持防护措施。APP 专门为最高风险账户而设置。

如下是一个简单的钓鱼示例。攻击者发送了带有安全警告诱饵的钓鱼邮件。该诱饵假装来自“谷歌”，提醒用户保证自己账户的安全。用户点击链接输入密码，而且如果启用了双因素认证机制则会被要求输入安全码，从而导致攻击者访问其账户。

威胁检测

上周，我们在CyberwarCon 大会上说明了此前未披露的俄罗斯威胁组织 Sandworm（也被称为“Iridium”）的情况。这是 TAG 所做的详细的威胁检测工作类型的有用案例。尽管Sandworm 组织的很多活动如攻击乌克兰和2018年冬季奥运会等已为人所知，但某些攻击活动此前并未得到报道。

2017年12月，TAG 发现 Sandworm 组织试图部署安卓恶意软件。首次攻击活动针对的是位于韩国的用户，它通过恶意软件修改了合法的安卓应用程序。随后黑客将这些被修改的应用程序通过受攻击者控制的开发者账户发送到应用商店。在这次攻击活动中，Sandworm 组织向应用商店上传了8款不同的应用程序，而每款应用程序的总下载量不足10次。

我们还从Sandworm 中发现了2017年9月的一次安卓活动。攻击者使用了类似技术并在应用商店上部署了一款虚假的 UKR.net 电子邮件 app。这款应用程序的总下载量大约为1000次。我们和 Google Play Protect Team 的同时为该恶意软件家族编写检测并将其删除。

2018年11月，我们发现 Sandworm 从使用受攻击者控制的账户转向试图将恶意应用上传到受攻陷的合法开发者。在11月期间，Sandworm 通过在鱼叉式钓鱼邮件中附加恶意附件的方式攻击位于乌克兰的软件和手机 app 的开发人员。在至少一个案例中，黑客通过多款已公布的应用商店 app 攻陷了一名应用程序开发人员，而这款应用程序的安装量超过20万次。

攻陷该开发人员后，Sandworm在其中一款合法应用中构建了一个后门并试图在应用商店中将其公开。他们将注入代码添加到应用程序包中，通过受攻陷开发人员的密钥签名该数据包，之后将其上传到应用商店中。然而，Google Play Protect 团队在上传之时就发现了它。结果并未有用户受感染，而我们也能重新加固开发人员账户的安全性。

传播虚假信息

谷歌和YouTube 一直在致力于和试图对抗谷歌服务的协同影响行动作斗争，而 TAG 是这种工作的一部分。我们和执法部门和其它技术公司一起分享了关于这些活动的相关威胁信息。如下是 TAG 最近在做的一些事情：

• TAG 最近采取行动应对旨在针对多个非洲国家的和俄罗斯相关的影响力行动。他们散播不实新闻在非洲倡导俄罗斯的利益。我们已经发现参与这起行动的本地账户和人员，这种技巧的目的可能是让内容看似更加逼真。被瞄上的国家包括中非共和国、苏丹、马达加斯加和南非，使用的语言包括英语、法语和阿拉伯语。虽然活动对谷歌服务造成的影响有限，但我们快速在各产品中采取应对措施。我们终止了相关的谷歌账户和15个 YouTube 频道，而且还在继续监控这一空间。这一发现和Facebook 公司最近的观察和采取的行动是一致的。

• 和Bellingcat最近发布的一份报告一样，TAG也发现了通过宣传阿布自由巴布亚运动的消息针对印度尼西亚巴布亚和西巴布亚省的活动。谷歌终止了一个广告账户和28个 YouTube 频道。

合作伙伴

TAG 和其它技术公司（包括平台和专门的安全公司）紧密合作，共享情报和最佳实践。我们同时和执法部门共享威胁信息。当然谷歌还有多个团队对此开展协作。

未来，我们的目标是提供更多关于 TAG 所检测和阻止的攻击信息。我们希望能通过揭露这些组织帮助安全社区、抵御未来的攻击并提高高风险目标的意识并提供更多的防护措施。

原文链接

https://blog.google/technology/safety-security/threat-analysis-group/protecting-users-government-backed-hacking-and-disinformation/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。