Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 17:09
Temperatura: °C
Probabilidade de chuva: %

Hackers chineses usam Google Planilhas para espionar o governo brasileiro

Hackers chineses usam Google Planilhas para espionar o governo brasileiro

Uma campanha de espionagem global, atribuída a hackers chineses, foi descoberta pelo Grupo de Inteligência de Ameaças da Google (GTIG) e a empresa de cibersegurança Mandiant. Os atacantes usaram chamadas de API SaaS (software como serviço) no Google Planilhas para espionar principalmente telecomunicações e redes governamentais, incluindo no Brasil.

A campanha, que está ativa desde ao menos 2023, já atingiu 53 empresas em 42 países, com suspeitas de invasão em mais 20 outras nações. O vetor de acesso ainda é desconhecido, mas o atacante é identificado internamente como UNC2814, que já explorou falhas em servidores web e sistemas de borda.

Como ocorre a invasão

Os hackers usaram uma nova backdoor baseada em C chamada GRIDTIDE, que abusa a API do Google Sheets para entregar comandos de servidores maliciosos. Com uma chave privada hardcoded, o malware se autentica em uma conta Google e limpa uma planilha ao excluir as linhas 1 a 1000 e colunas de A a Z.

Após o procedimento, é feito um reconhecimento do sistema, coletando nome de usuário, de host, detalhes do sistema operacional, IP, localização e fuso horário, anotando os dados na célula V1. Já a célula A1 é usada para os comandos e status do ataque, e o GRIDTIDE recebe instruções por ela constantemente.

Os comandos usados pelo malware são de execução de bashes Base64, escrevendo os resultados na planilha, upload e download de arquivos. As células de A2 a AN são usadas para escrever os comandos, extrair arquivos e atualizar ferramentas. O esquema de codificação base64 é usado para evitar detecção por monitoramento web, se escondendo em meio ao tráfego comum.

Medidas de mitigação

Google, Mandiant e parceiros que agiram na mitigação da campanha fecharam todos os projetos controlados pelo UNC2814, desabilitando a infraestrutura do grupo e revogando acesso à API do Google Planilhas. Organizações impactadas pelo GRIDTIDE foram notificadas e receberam suporte para lidar com as infecções, e a Google listou regras de detecção e indicadores de comprometimento dos aparelhos afetados.

  • 53 empresas em 42 países foram atingidas pela campanha de espionagem.
  • 20 outras nações têm suspeitas de invasão.
  • O atacante é identificado internamente como UNC2814.

Este conteúdo pode conter links de compra.

Fonte: link