Заполнил таблицу – взломал страну. Google Sheets стали главным инструментом разведки Китая

Международная кибершпионская кампания, которая годами оставалась в тени, внезапно дала о себе знать в десятках стран. Корпорация Google совместно с компанией Mandiant сообщила о срыве масштабной операции группировки UNC2814, связанной с Китаем. Атаки затронули телекоммуникационные компании и государственные структуры по всему миру.

По данным подразделения Google Threat Intelligence Group, за время расследования подтвердили 53 взлома в 42 странах на четырёх континентах. Следы активности обнаружили ещё как минимум в 20 государствах. Группировка действует не менее десяти лет, а специалисты Google отслеживают её с 2017 года. В компании подчёркивают, что UNC2814 не связана с ранее описанной кампанией Salt Typhoon и использует иные методы.

Главным инструментом атак стал ранее неизвестный вредоносный модуль GRIDTIDE. Это скрытый бэкдор, написанный на языке Си, который позволяет выполнять команды на заражённой машине, загружать и скачивать файлы. Управление происходило необычным способом. Вместо привычных серверов злоумышленники использовали таблицы сервиса Google Sheets как канал связи. Вредоносная программа отправляла и получала команды через вызовы интерфейса программирования приложений, маскируя трафик под обычную работу с облачным сервисом.

Таким образом атакующие не эксплуатировали уязвимости в продуктах Google, а злоупотребляли легальными возможностями облачной инфраструктуры. Трафик выглядел как стандартные обращения к сервису таблиц, что затрудняло обнаружение.

Один из эпизодов расследования начался с тревожного сигнала на сервере под управлением CentOS. Аналитики обнаружили подозрительный исполняемый файл /var/tmp/xapt, который запускал командную оболочку с правами администратора и проверял, удалось ли получить полный контроль над системой. Название xapt, вероятно, выбрали для маскировки под системную утилиту apt, известную в дистрибутивах на базе Debian.

Закрепившись в сети, злоумышленники перемещались между серверами через SSH, повышали привилегии и настраивали постоянный запуск GRIDTIDE через системную службу. Для шифрованного соединения наружу применяли SoftEther VPN Bridge. Конфигурационные данные указывают, что эту инфраструктуру группа использует с 2018 года.

В одном из случаев вредоносный код разместили на узле, где хранились персональные данные. Речь шла о полном имени, номере телефона, дате и месте рождения, номере удостоверения личности и регистрационном номере избирателя. Такой интерес к информации о конкретных людях характерен для кибершпионажа в сфере связи. Подобные операции в прошлом приводили к краже сведений о звонках, перехвату незашифрованных SMS и злоупотреблению системами законного прослушивания.

Сам GRIDTIDE работал по чёткой схеме. После запуска он очищал первые строки таблицы, чтобы удалить старые команды, затем собирал сведения о системе, включая имя пользователя, параметры операционной системы и локальный IP-адрес, и записывал их в определённую ячейку. Команды поступали через одну ячейку, а данные передавались через диапазон других. Для сокрытия содержимого использовали модифицированное кодирование Base64.

В ответ Google отключила все облачные проекты, которые контролировали злоумышленники, лишив их постоянного доступа к заражённым средам. Совместно с партнёрами компания заблокировала известную инфраструктуру UNC2814 и изъяла используемые домены. Аккаунты атакующих и доступ к интерфейсу Google Sheets для управления заражёнными машинами аннулировали. Организации, чьи системы обозначили как скомпрометированные, получили уведомления.

Кроме того, опубликован набор индикаторов компрометации, связанных с инфраструктурой группы с 2023 года. В Google считают, что столь масштабная сеть доступа формировалась годами и быстро восстановить её будет непросто. При этом в компании ожидают, что UNC2814 попытается заново выстроить своё присутствие.