Заполнил таблицу – взломал страну. Google Sheets стали главным инструментом разведки Китая
NewsMakerСпустя 10 лет Google наконец-то заметил хакеров у себя под носом.
Международная кибершпионская кампания, которая годами оставалась в тени, внезапно дала о себе знать в десятках стран. Корпорация Google совместно с компанией Mandiant сообщила о срыве масштабной операции группировки UNC2814, связанной с Китаем. Атаки затронули телекоммуникационные компании и государственные структуры по всему миру.
По данным подразделения Google Threat Intelligence Group, за время расследования подтвердили 53 взлома в 42 странах на четырёх континентах. Следы активности обнаружили ещё как минимум в 20 государствах. Группировка действует не менее десяти лет, а специалисты Google отслеживают её с 2017 года. В компании подчёркивают, что UNC2814 не связана с ранее описанной кампанией Salt Typhoon и использует иные методы.
Главным инструментом атак стал ранее неизвестный вредоносный модуль GRIDTIDE. Это скрытый бэкдор, написанный на языке Си, который позволяет выполнять команды на заражённой машине, загружать и скачивать файлы. Управление происходило необычным способом. Вместо привычных серверов злоумышленники использовали таблицы сервиса Google Sheets как канал связи. Вредоносная программа отправляла и получала команды через вызовы интерфейса программирования приложений, маскируя трафик под обычную работу с облачным сервисом.
Таким образом атакующие не эксплуатировали уязвимости в продуктах Google, а злоупотребляли легальными возможностями облачной инфраструктуры. Трафик выглядел как стандартные обращения к сервису таблиц, что затрудняло обнаружение.
Международная кибершпионская кампания, которая годами оставалась в тени, внезапно дала о себе знать в десятках стран. Корпорация Google совместно с компанией Mandiant сообщила о срыве масштабной операции группировки UNC2814, связанной с Китаем. Атаки затронули телекоммуникационные компании и государственные структуры по всему миру.
По данным подразделения Google Threat Intelligence Group, за время расследования подтвердили 53 взлома в 42 странах на четырёх континентах. Следы активности обнаружили ещё как минимум в 20 государствах. Группировка действует не менее десяти лет, а специалисты Google отслеживают её с 2017 года. В компании подчёркивают, что UNC2814 не связана с ранее описанной кампанией Salt Typhoon и использует иные методы.
Главным инструментом атак стал ранее неизвестный вредоносный модуль GRIDTIDE. Это скрытый бэкдор, написанный на языке Си, который позволяет выполнять команды на заражённой машине, загружать и скачивать файлы. Управление происходило необычным способом. Вместо привычных серверов злоумышленники использовали таблицы сервиса Google Sheets как канал связи. Вредоносная программа отправляла и получала команды через вызовы интерфейса программирования приложений, маскируя трафик под обычную работу с облачным сервисом.
Таким образом атакующие не эксплуатировали уязвимости в продуктах Google, а злоупотребляли легальными возможностями облачной инфраструктуры. Трафик выглядел как стандартные обращения к сервису таблиц, что затрудняло обнаружение.