Google desmantela campanha global que visava telecomunicações e governos

A Google revelou ter interrompido uma campanha de ciberespionagem associada à China que visava organizações de telecomunicações e entidades governamentais em várias regiões do mundo. O grupo, identificado como UNC2814 pela Google Threat Intelligence Group (GTIG) e pela Mandiant, estará ativo pelo menos desde 2017.

Segundo a empresa, a operação terá atingido pelo menos 53 organizações em 42 países nas Américas, Ásia e África, existindo indícios de que outros 20 países possam também ter sido alvo.

O grupo recorria a chamadas API para comunicar com aplicações SaaS, utilizando-as como infraestrutura de comando e controlo (C2). Esta técnica permitia disfarçar o tráfego malicioso como atividade legítima, tirando partido de serviços cloud amplamente utilizados em vez de explorar vulnerabilidades técnicas.

Entre as ferramentas identificadas está um novo backdoor denominado GridTide, capaz de executar comandos shell e realizar uploads e downloads de ficheiros. De acordo com a Google, o malware utilizava o Google Sheets como plataforma de C2, tratando as folhas de cálculo como canais de comunicação para transmissão de dados e instruções.

Os investigadores detetaram o GridTide num endpoint que continha dados pessoais como nomes, datas de nascimento, números de telefone e identificadores nacionais, sugerindo possíveis tentativas de monitorização de indivíduos específicos. A Google referiu não ter observado diretamente a exfiltração de dados nesta campanha, mas recordou que operações anteriores atribuídas a atores ligados à China resultaram na recolha de registos de chamadas e mensagens SMS não encriptadas.

Embora o padrão de ataques a operadoras de telecomunicações relembre o grupo conhecido como Salt Typhoon, a Google afirmou não ter identificado sobreposição técnica entre as duas campanhas.

Para travar a operação, a Google, em conjunto com a Mandiant e parceiros, eliminou os recursos cloud utilizados pelo GridTide e desativou a infraestrutura associada à campanha.

Adicionalmente, a empresa desativou contas utilizadas pelos atacantes, incluindo contas Google Cloud usadas para C2, e revogou o acesso às instâncias de Google Sheets exploradas pelo malware.

As organizações afetadas foram notificadas e receberam apoio na resposta ao incidente. A Google disponibilizou ainda indicadores de compromisso (IoC) para ajudar outras entidades a detetar atividades associadas ao UNC2814.

A empresa considera que esta ação deverá atrasar significativamente a capacidade do grupo em manter ou expandir a sua presença global.