O Google frustrou uma vasta operação global de ciberespionagem. Orquestrado por hackers chineses financiados por Pequim, o ataque invadiu pelo menos 53 organizações em 42 países. Os hackers exploraram o Planilhas Google para permanecer invisíveis por um longo período de tempo.
Google revela que desmantelou uma vasta operação de espionagem ligada à China. A operação permitiu que hackers chineses se infiltrassem pelo menos 53 organizações em 42 países diferentes. Por trás da campanha está uma gangue conhecida como UNC2814, também conhecida como “Gallium”. Financiado por Pequim, o grupo criminoso está ativo desde 2017. É especializado em espionar alvos estratégicos do poder chinês, principalmente operadores de telecomunicações estrangeiros e organizações governamentais. Uma vez dentro do sistema, os hackers permanecerão fora do radar e monitorarão indivíduos, interceptarão comunicações e coletarão dados confidenciais.
Leia também: Ataques cibernéticos chineses – espiões exploraram uma vulnerabilidade da Dell sem serem notados por 18 meses
Um ataque cibernético baseado em… Planilhas Google
A campanha é amplamente baseada em um novo Trojan, chamado “GRIDTIDE”. Uma vez implantado no sistema da vítima, o vírus irá comunicar-se com um documento do Planilhas Googlediretamente pela interface de programação do Google. A planilha, publicada online por cibercriminosos chineses, contém comandos criptografados para o malware. Isto irá decifrar os comandos e obedecer às instruções dos hackers. Diretamente para o arquivo do Planilhas Google, “GRIDTIDE” transferirá os dados que rouba.
Em seguida, o malware limpa até as primeiras 1.000 linhas da planilha para apagar quaisquer vestígios de comandos antigos ou dados exfiltrados. Essa precaução permite que o vírus passe despercebido e esconda suas atividades dos pesquisadores. Google enfatiza que o ataque não explora “uma falha de segurança nos produtos do Google”mas “em vez disso sequestra uma funcionalidade legítima”.
Usar o Planilhas Google permite que ataques cibernéticos aconteçam no maior segredo. Como explica o Google, o tráfego gerado pelo vírus parece um tráfego de nuvem perfeitamente normal. Na verdade, as empresas não percebem que um intruso está se comunicando com uma fonte externa à sua rede.
“Essa tática é frequentemente usada por atores mal-intencionados para melhor ocultar suas invasões. […] Eles contam com serviços de nuvem legítimos, o que lhes permite operar sua infraestrutura de ataque e, ao mesmo tempo, fazer com que seu tráfego pareça completamente legítimo.afirma o Google em seu relatório.
Leia também: Hackeado de fábrica – milhares de smartphones foram infectados com malware chinês
Dados na mira de hackers chineses
Entre os principais dados na mira dos hackers chineses estão informações normalmente mantidas por organizações governamentais, como nomes completos, números de telefone, datas e locais de nascimento, números de cartão de eleitor e identificadores nacionais.
Ao invadir operadoras de telecomunicações, os hackers também procuram obter dados relativos a smartphones. Essas informações podem ser usadas para rastrear a localização de um telefone ou ouvir chamadas telefônicas. Para ouvir conversas, os hackers usam as mesmas ferramentas usadas pelas autoridades.
Resposta do Google
Depois de descobrir as operações realizadas pelo UNC2814, o Google preparou a sua resposta. O contra-ataque foi confiado ao Google Threat Intelligence Group (GTIG), equipe interna do Google dedicada à pesquisa e análise de ameaças, e à Mandiant, sua subsidiária de segurança cibernética. A gigante de Mountain View explica que lançou um “perturbação” de magnitude contra a gangue chinesa. Notavelmente, o Google encerrou todos os projetos do Google Cloud controlados pelos invasores, cortando o acesso persistente aos ambientes comprometidos.
No processo, a empresa desativou toda a infraestrutura conhecido pelo grupo e excluiu todas as contas vinculadas aos ataques. No papel, o grupo não consegue mais lançar seus ataques cibernéticos. O Google acrescenta que cada vítima foi alertada por isso. Por fim, as equipes do Google ajudaram as empresas comprometidas para ajudá-las a expulsar hackers de seus sistemas.
Para o Google, o ataque cibernético “ressalta a gravidade da ameaça aos setores de telecomunicações e governamental”. Os pesquisadores especificam que intrusões deste tipo são “geralmente o resultado de anos de esforço sustentado”. Levará algum tempo para que os piratas chineses se recuperem.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.