Google razotkrio kineske špijune s mrežom u Spreadsheetu
U akciji koju je vodio Google Threat Intelligence ukinuti su svi projekti na Google Cloudu pod kontrolom skupine UNC2814, koju su u Googleu pratili još od 2017. godine.
Google je, zajedno s neimenovanim industrijskim partnerima, razotkrio bandu koja je koristila njihove aplikaciju Spreadsheets u sklopu napada na vlade i telekome diljem svijeta. U akciji koju je vodio Google Threat Intelligence ukinuti su svi projekti na Google Cloudu pod kontrolom skupine UNC2814, koju su u Googleu pratili još od 2017. godine.
Također su onemogućili svu poznatu infrastrukturu i korisničke račune te skupine, kao i opozvali pristup pozivima Google Sheets API-ja koje su kineski špijuni koristili za potrebe zapovijedanja i kontrole. Njihova mreža prostirala se na 42 države i četiri kontinenta.
Otkrivene su 53 žrtve u najmanje 20 država. Na udaru su bili pojedinci i organizacije, posebno disidenti i aktivisti, kao i tradicionalne mete špijunaže. Sve žrtve su obaviještene o otkriću.
Zasad nisu otkrivena preklapanja sa Salt Typhoonom, skupinom koju se povezuje s Kinom koja je hakirala glavne američke telekomunikacijske tvrtke i krala podatke od 2019. Nije poznato ni kako je UNC2814 dobio početni pristup okruženjima žrtava za ovu konkretnu kampanju. Obično se to čini iskorištavanjem i kompromitiranjem web poslužitelja i rubnih sustava.
Kampanja je otkrivena tijekom Mandiantove istrage o sumnjivim aktivnostima u okruženju korisnika. Napadači su koristili binarnu datoteku /var/tmp/xapt i alat Gridtide, koji zloupotrebljava legitimnu funkcionalnost Google Sheets API-ja kako bi se prikrio.
