Google Threat Intelligence Group (GTIG) und Mandiant enthüllen die Verhinderung einer von UNC2814 orchestrierten globalen Spionagekampagneeine Gruppe, die im Verdacht steht, Verbindungen zu China zu haben und seit mindestens 2017 aktiv ist. Insgesamt 53 Beschuldigungen UNC2814 zugeschriebene Fälle wurden in 42 Ländern bestätigt, mit Zielen in mehr als 20 weiteren Ländern.

Eine Entführung der Google Sheets API

Die UNC2814-Gruppe verließ sich auf eine Malware namens GRIDTIDE Dabei handelt es sich um eine Hintertür, mit der Remote-Befehle ausgeführt und Dateien übertragen werden können. Die Besonderheit lag in der Verwendung der Google Sheets API als Befehls- und Kontrollkanal.

Durch den Missbrauch dieser legitimen Funktionalität konnten Angreifer sich in den normalen Netzwerkverkehr einmischen und ihre böswilligen Aktivitäten verbergen. Google stellt klar, dass es keinen Zusammenhang zu einer Sicherheitslücke und Ausnutzung in Google Sheets gab.

Unsicherheit über gestohlene Daten

Hauptziele waren Telekommunikationsanbieter und Regierungsorganisationen. Das Ziel schien Spionage für „ Identifizierung, Verfolgung und Überwachung der Kommunikation von Personen von Interesse „.

A priori versuchten die Angreifer, Daten wie vollständige Namen, Telefonnummern, Anrufprotokolle, SMS-Nachrichten und sogar nationale und Wähleridentifikationsnummern herauszufiltern. Das GTIG gibt jedoch an, dass es nur begrenzten Einblick in die während der Kampagne gestohlenen Daten hat.

Ein weiteres Element ist, dass sich die UNC2814-Gruppe von Salt Typhoon unterscheidet, da sie einzigartige Taktiken und Infrastruktur verwendet.

Eine Drohung ist vorerst ausgeschlossen

In Zusammenarbeit mit Partnern gibt Google an, „ Alle vom Angreifer kontrollierten Cloud-Projekte wurden beendet, bekannte Konten deaktiviert und aktuelle und historische Domänen gelöscht, um den Zugriff auf kompromittierte Umgebungen zu sperren.

Die gesamte bekannte UNC2814-Infrastruktur wurde deaktiviert und die Konten und der Zugriff der Angreifer auf die Google Sheets-API wurden widerrufen. “ Es wird erwartet, dass dieser Eingriff ein Jahrzehnt der Bemühungen der Gruppe zunichtemachen wird von UNC2814-Angreifern, um seine bedeutende globale Präsenz aufzubauen.

Außerdem wurden allen identifizierten Opfern Benachrichtigungen zugesandt. Dennoch ist es fast sicher, dass die UNC2814-Gruppe hart daran arbeitet, wieder auf die Beine zu kommen.