Hackers vinculados al gobierno chino irrumpieron en más de 50 empresas de telecomunicaciones y agencias gubernamentales en 42 países, en una campaña que explotó las funciones legítimas de las plataformas en la nube para ocultar las huellas de los atacantes.
“El atacante estaba utilizando llamadas a la API para comunicarse con aplicaciones de [software como servicio] como infraestructura de comando y control (C2) para disfrazar su tráfico malicioso como benigno”, explicaron investigadores del Grupo de Inteligencia de Amenazas de Google y Mandiant en un informe publicado el miércoles.
Google identificó al equipo de hackers, vinculado a China, como UNC2814, describiéndolo como “prolífico y escurridizo”, con una larga trayectoria en el ataque a gobiernos internacionales y organizaciones de telecomunicaciones globales en África, Asia y América.
En la campaña más reciente, el grupo comprometió a 53 organizaciones en todo el mundo, una magnitud que Google atribuyó a “una década de esfuerzo concentrado”.
“Intrusiones prolíficas de esta escala son generalmente el resultado de años de esfuerzo enfocado y no se restablecerán fácilmente”, afirmaron los investigadores de Google. “Esperamos que UNC2814 trabaje arduamente para restablecer su huella global”.
UNC2814, que es distinto del actor de amenazas responsable de la campaña Salt Typhoon de Pekín, “tiene un historial de obtener acceso explotando y comprometiendo servidores web y sistemas perimetrales”, según Google. Los investigadores han rastreado sus actividades desde 2017.
Aprovechamiento de una plataforma de colaboración
En la operación más reciente –que Google y sus socios interrumpieron la semana pasada al incautar la infraestructura de los atacantes–, los hackers de UNC2814 desplegaron un malware de puerta trasera denominado “GRIDTIDE” que controlaban mediante un uso elaborado de la API de Hojas de Cálculo de Google.
GRIDTIDE buscaba comandos en la celda A1 y luego sobrescribía los datos de la celda con un informe de estado de sus actividades, según el informe de Google. Los hackers utilizaban celdas cercanas para transferir herramientas adicionales a las máquinas de las víctimas y extraer archivos de ellas.
“Una vez que la hoja está preparada, la puerta trasera realiza un reconocimiento basado en el host”, explicó Google, incluyendo la recopilación de información sobre la máquina de destino, su usuario y su entorno de red. “Esta información se extrae y se almacena en la celda V1 de la hoja de cálculo controlada por el atacante”.
Las técnicas ingeniosas y el amplio impacto de la campaña resaltan “la grave amenaza que enfrentan los sectores de las telecomunicaciones y el gobierno, y la capacidad de estas intrusiones para evadir la detección por parte de los defensores”, advirtió Google.
Aunque la campaña es distinta de Salt Typhoon, Google señaló que parecía tener un objetivo similar, describiéndola como “coherente con las actividades de ciberespionaje en el sector de las telecomunicaciones, que se utilizan principalmente para identificar, rastrear y monitorear a personas de interés”.
Desactivando a los atacantes
En respuesta a la campaña de piratería informática, Google deshabilitó el acceso de los atacantes a su plataforma en la nube y, junto con sus socios, inutilizó los dominios web del actor de amenazas.
“Hemos terminado todos los proyectos de Cloud controlados por el atacante, cortando efectivamente su acceso persistente a los entornos comprometidos por la puerta trasera GRIDTIDE”, escribieron los investigadores.
Google también publicó indicadores de compromiso asociados con la infraestructura que el grupo ha estado utilizando desde 2023, actualizó sus detecciones de malware basadas en firmas para detectar GRIDTIDE y proporcionó consultas de búsqueda que sus clientes de seguridad en la nube podrían utilizar para escanear posibles compromisos en sus entornos.
La compañía afirmó haber notificado a las víctimas de la campaña.
