Найти в Дзене
Айтуби / IT to Business
34 подписчика

ЦИФРОВОЙ ЩИТ: КАК GOOGLE SHEETS СТАЛ ОРУЖИЕМ ХАКЕРОВ

1 мин
Международная кибершпионская сеть, действовавшая скрытно более десяти лет, была раскрыта благодаря совместному расследованию Google и Mandiant. Специалистам удалось сорвать операцию группировки UNC2814, которую связывают с Китаем. Жертвами атак стали телекоммуникационные гиганты и правительственные учреждения по всему миру. Масштаб угрозы поражает: эксперты подтвердили 53 успешных взлома в 42 странах на четырех континентах. Еще в 20 государствах зафиксированы следы активности злоумышленников. В Google подчеркивают, что UNC2814, которую отслеживают с 2017 года, действует обособленно от других известных хакерских кампаний, используя уникальный арсенал средств. Ключевым инструментом проникновения стал ранее неизвестный бэкдор GRIDTIDE, созданный на языке Си. Его главная особенность — использование легитимной инфраструктуры Google Sheets в качестве командного центра. Вредоносная программа маскировала трафик под обычные запросы к облачному сервису, обмениваясь командами и похищенными данным

Международная кибершпионская сеть, действовавшая скрытно более десяти лет, была раскрыта благодаря совместному расследованию Google и Mandiant. Специалистам удалось сорвать операцию группировки UNC2814, которую связывают с Китаем. Жертвами атак стали телекоммуникационные гиганты и правительственные учреждения по всему миру.

Масштаб угрозы поражает: эксперты подтвердили 53 успешных взлома в 42 странах на четырех континентах. Еще в 20 государствах зафиксированы следы активности злоумышленников. В Google подчеркивают, что UNC2814, которую отслеживают с 2017 года, действует обособленно от других известных хакерских кампаний, используя уникальный арсенал средств.

Ключевым инструментом проникновения стал ранее неизвестный бэкдор GRIDTIDE, созданный на языке Си. Его главная особенность — использование легитимной инфраструктуры Google Sheets в качестве командного центра. Вредоносная программа маскировала трафик под обычные запросы к облачному сервису, обмениваясь командами и похищенными данными через ячейки таблиц, что делало ее практически невидимой для стандартных систем защиты.

Расследование одного из инцидентов началось с обнаружения подозрительного файла «xapt» на сервере под управлением CentOS. Закрепившись в системе, хакеры перемещались по сети, повышали привилегии и настраивали скрытое шифрованное соединение через VPN. В некоторых случаях объектом атак становились узлы с персональными данными: именами, номерами телефонов и документами, что является классическим признаком кибершпионажа, направленного на перехват коммуникаций.

В ответ на угрозу Google заблокировал все облачные проекты и аккаунты, используемые группировкой, фактически обрубив каналы управления зараженными машинами. Компания также опубликовала индикаторы компрометации, чтобы помочь организациям по всему миру проверить свои системы.

Этот случай стал наглядной демонстрацией того, как меняется ландшафт киберугроз. Злоумышленники больше не взламывают защиту — они учатся использовать повседневные инструменты, такие как онлайн-таблицы, против нас самих. Хотя операция UNC2814 временно нейтрализована, это лишь вопрос времени, когда хакеры адаптируют свою тактику, заставляя мир искать новые способы защиты в эпоху тотальной цифровизации.

Кибербезопасность
25,6 тыс интересуются