Google découvre une vaste campagne de pillage de données

Google vient de lever le voile sur une vaste cyberattaque en cours. L’attaque, reposant sur des boitiers réseau en fin de vie, permet de voler les données sensibles et confidentielles des entreprises visées.

Les chercheurs du Google Threat Intelligence Group (GTIG), une division de Google, et de Mandiant, une filiale de Google, ont découvert « une campagne en cours » visant des entreprises. Dans un communiqué publié ce 16 juillet 2025, les experts de Google expliquent que les premières attaques remontent « au moins à octobre 2024 ». Les cyberattaques visent à s’emparer des données des organisations et à déployer des ransomwares.

À lire aussi : Cyberattaques russes – la police débranche les serveurs de NoName057(16)

Des appareils en fin de vie dans le viseur des pirates

Pour arriver à leurs fins, les pirates s’en prennent à des appareils en fin de vie fabriqués par SonicWall, une entreprise américaine spécialisée dans la sécurité réseau. Les hackers exploitent des appareils qui ne sont plus pris en charge, mais qui ont eu droit à des mises à jour.

Seuls les appareils de la gamme 100 SonicWall Secure Mobile Access (SMA) sont visés par l’attaque. Il s’agit de boîtiers de sécurité réseau, utilisés principalement pour permettre l’accès sécurisé à distance aux employés d’une entreprise.

À lire aussi : Une vague de cyberattaques menace les compagnies aériennes

Vols d’identifiants et failles zero day

Afin de pénétrer dans l’appareil, les cybercriminels se servent de données sensibles volées lors d’intrusions ultérieures, dont des identifiants. Google estime que les données ont été dérobées par le biais d’une vulnérabilité dans les produits de la marque. Grâce à ces identifiants et mots de passe, les pirates entrent dans le système de l’appareil. Une fois à l’intérieur, ils vont exploiter des failles zero day, non corrigées ou divulguées, pour implanter des logiciels malveillants sur l’appareil, dont la porte dérobée « OVERSTEP ». Celle-ci est spécialement conçue pour pirater les appareils de SonicWall.

C’est par le biais de ce malware que les pirates vont exfiltrer les données des entreprises. Pour brouiller les pistes, et cacher ses traces, le virus va effacer les entrées du journal. En parallèle, les pirates conservent un accès persistant à l’appareil en modifiant le processus de démarrage.

Pour le moment, Google n’est pas encore parvenu à remonter jusqu’à l’identité des cybercriminels à l’origine de l’opération. SonicWall recommande à toutes les entreprises qui utilisent les boitiers concernés de « réinitialiser la configuration OTP (mot de passe à usage unique) pour l’ensemble des utilisateurs ». Cette précaution va empêcher les hackers d’utiliser les données en leur possession pour générer des codes temporaires qui leur offriront un accès à l’appareil.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source :

Google