Google и Mandiant разоблачили шпионскую группировку UNC2814, связанную с КНР, которая использовала Google Таблицы как скрытый канал C2 для кражи данных у телекоммуникационных компаний и госучреждений в 42 странах. — csoonline.com
Google выявила связанную с Китаем шпионскую группировку, которая использовала приложение Google Таблицы в качестве тайного инструмента для компрометации телекоммуникационных провайдеров и государственных учреждений в 42 странах, отправляя через него команды и получая украденные данные, сообщила в четверг Группа анализа угроз Google (GTIG).
Работая с Mandiant, GTIG подтвердила вторжения в 53 организации в 42 странах, с предполагаемыми заражениями как минимум еще в 20. Группа, идентифицированная Google как UNC2814, предположительно связана с КНР и отслеживается GTIG с 2017 года.
«Этот плодовитый и неуловимый субъект имеет долгую историю целенаправленных атак на международные правительства и глобальные телекоммуникационные организации в Африке, Азии и Америке», — говорится в записи в блоге GTIG.
В отличие от Salt Typhoon, UNC2814, связанная с Китаем группа, чьи вторжения в американские телекоммуникационные сети привлекли внимание Конгресса и федеральных регуляторов в прошлом году, действует с использованием иных тактик и нацелена на другой круг жертв по всему миру, добавляется в сообщении.
Способ получения первоначального плацдарма UNC2814 не установлен, хотя GTIG сообщила, что группа имеет опыт эксплуатации и компрометации веб-серверов и граничных систем. Оказавшись внутри, она развернула новую бэкдор-программу и поддерживала постоянный доступ в целевых сетях.
Таблица, перепрофилированная в шпионский инструмент
Эта бэкдор-программа, которую GTIG назвала GRIDTIDE, не обменивалась данными так, как большинство вредоносных программ. «Бэкдор использует Google Таблицы в качестве платформы C2 с высокой доступностью, рассматривая таблицу не как документ, а как канал связи для передачи необработанных данных и команд оболочки», — заявила GTIG.
Злоумышленники записывали команды в ячейки таблицы и таким же образом извлекали украденные данные. Вредоносное ПО опрашивало таблицу каждую секунду на предмет новых инструкций, записывало отчеты о статусе выполнения задач и стирало первые 1000 строк в начале каждой сессии, чтобы скрыть следы предыдущей активности, поясняется в сообщении блога.
«Эта активность не является результатом уязвимости безопасности в продуктах Google; скорее, она злоупотребляет законными функциями Google Sheets API для маскировки трафика C2», — добавила GTIG.
«Самая тревожная деталь о бэкдоре GRIDTIDE заключается в том, как он злоупотребляет законными вызовами Google Sheets API для функционирования в качестве своего канала C2, при этом используя такие методы, как «жизнь за счет земли» (living off the land) для маскировки под обычную корпоративную деятельность», — отметил Эндрю Костис, менеджер команды по исследованиям противников в AttackIQ. «Эта маскировка дает атакующим время, позволяя обойти триггеры, на которые полагаются защитники, такие как очевидные сигнатуры вредоносного ПО или шумное маякование, и скрыться внутри тех же шаблонов облачных приложений, которые команды привыкли видеть».
Как Mandiant обнаружила это
Кампания стала известна во время расследования Mandiant Threat Defense, когда аналитики заметили необычную активность на сервере CentOS. Бинарный файл с именем xapt, предназначенный для маскировки под менеджер пакетов apt в системах Linux на базе Debian, уже получил права root и выполнял команды оболочки для подтверждения своего уровня доступа, сообщила GTIG.
Злоумышленник имел наивысшие доступные привилегии в системе до того, как было поднято оповещение.
Используя этот плацдарм, угрожающий субъект использовал учетную запись службы для горизонтального перемещения через SSH, развернул бинарные файлы «жизнь за счет земли» для разведки и установил GRIDTIDE как постоянную службу systemd для сохранения работоспособности после перезагрузок. Злоумышленник также развернул SoftEther VPN Bridge для поддержания зашифрованного исходящего канала.
«Метаданные конфигурации VPN предполагают, что UNC2814 использует эту конкретную инфраструктуру с июля 2018 года», — заявила GTIG.
Масштаб этого доступа стал очевиден, когда следователи изучили, что именно атаковали злоумышленники.
Настоящей целью были люди
Злоумышленники внедрили GRIDTIDE на конечные точки, содержащие персонально идентифицируемую информацию, включая полные имена, номера телефонов, даты рождения, идентификационные номера избирателей и национальные идентификационные номера.
«Мы считаем, что нацеливание на PII в этом случае соответствует деятельности кибершпионажа в сфере телекоммуникаций, которая в первую очередь используется для выявления, отслеживания и мониторинга интересующих лиц», — говорится в сообщении GTIG.
GTIG не наблюдала прямую эксфильтрацию данных во время этой кампании, но отметила, что «исторические шпионские вторжения, связанные с КНР, против телекоммуникационных компаний приводили к краже данных о вызовах, незашифрованных SMS-сообщений, а также к компрометации и злоупотреблению системами законного перехвата».
Кибершпионские группы Китая последовательно приоритезируют телекоммуникации в качестве цели именно из-за доступа, который предоставляют их сети к конфиденциальным коммуникациям и инфраструктуре законного перехвата.
«Когда телекоммуникационные компании и государственные учреждения оказываются в зоне поражения, ставки выходят за рамки отчета об инциденте одной компании», — сказал Костис. «Доступ к телекоммуникационным средам может обеспечить сбор широкого спектра разведывательной информации, помочь в построении связей и создать возможности для долгосрочного мониторинга, который трудно распутать после компрометации».
Чтобы демонтировать операцию, GTIG прекратила работу всех проектов Google Cloud, контролируемых злоумышленниками, отключила их учетные записи, отозвала доступ к Google Sheets API и заблокировала текущие и исторические домены C2. Компания также сообщила затронутым организациям и опубликовала индикаторы компрометации через Google Threat Intelligence, включая IP-адреса, домены и хеши файлов, связанные с UNC2814.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain