Связанная с Китаем группировка обнаружила уникальную формулу для атак на телекоммуникационные компании и правительственные организации в странах Америки, Азии и Африки в ходе последней серии вторжений. Разведка угроз Google совместно с неназванными отраслевыми партнерами пресекла деятельность банды, которая использовала собственные инструменты для работы с электронными таблицами «Шоколадной фабрики» в рамках своих эксплойтов.
«Шоколадная фабрика» объявила о действиях, возглавляемых Группой разведки угроз Google (GTIG), в среду, заявив, что в партнерстве с другими командами были прекращены все проекты Google Cloud, контролируемые UNC2814 — группировкой, которую GTIG отслеживает с 2017 года. Они также отключили всю известную инфраструктуру и учетные записи UNC2814 и отозвали доступ к вызовам API Google Sheets, которые китайские шпионы использовали для целей командно-контрольных центров (C2).
«По состоянию на 18 февраля расследование GTIG подтвердило, что UNC2814 затронула 53 жертвы в 42 странах на четырех континентах и выявила предполагаемые заражения еще как минимум в 20 странах», — сообщили охотники за угрозами в отчете.
Они также отметили, что у UNC2814 не наблюдается пересечений с Salt Typhoon — еще одной группировкой, поддерживаемой Пекином, которая взломала крупные телекоммуникационные компании Америки и похитила информацию, принадлежащую почти каждому американцу, начиная с 2019 года.
Специалисты Google не знают, как UNC2814 получила первоначальный доступ к средам жертв в рамках этой конкретной кампании, но заявили, что предполагаемая банда, связанная с правительством Китая, исторически проникает путем эксплуатации и компрометации веб-серверов и периферийных систем.
«У нас нет информации о конкретных целях, но предыдущие шпионские вторжения, связанные с КНР, против телекоммуникационных компаний были направлены на слежку за отдельными лицами и организациями, особенно за диссидентами и активистами, а также на традиционные шпионские цели», — сообщил технический руководитель GTIG Дэн Перес изданию The Register. «Тип доступа, которого достигла UNC2814 в ходе этой кампании, вероятно, позволил бы осуществить такого рода операции».
Перес отказался назвать конкретных отраслевых партнеров, с которыми GTIG сотрудничала для уничтожения инфраструктуры этой угрожающей группы.
Сотрудники службы безопасности обнаружили эту кампанию в ходе расследования Mandiant подозрительной активности в среде клиента. В частности, этот бинарный файл, «/var/tmp/xapt», инициировал оболочку с привилегиями root, а затем выполнил команду для получения идентификаторов пользователя и группы системы, чтобы подтвердить успешное повышение привилегий до root.
Google предполагает, что полезная нагрузка была названа xapt по аналогии с инструментом командной строки в системах Debian и Ubuntu, чтобы ее было легче скрыть в среде жертвы, придав ей вид легитимного инструмента.
Злоумышленники также использовали новую бэкдор-программу Gridtide, которая злоупотребляет легитимной функциональностью API Google Sheets для маскировки своего трафика командно-контрольного центра (C2). Mandiant связала Gridtide с UNC2814.
После проникновения шпионы перемещались по сети через SSH, проводили разведку, повышали привилегии, а затем развертывали бэкдор Gridtide с помощью команды «nohup ./xapt», которая позволяет ему работать даже после закрытия сеанса пользователем.
«Впоследствии был развернут SoftEther VPN Bridge для установления исходящего зашифрованного соединения с внешним IP-адресом», — написала команда разведки угроз. «Метаданные конфигурации VPN предполагают, что UNC2814 использует эту конкретную инфраструктуру с июля 2018 года».
Бэкдор на языке C использует Google Sheets в качестве платформы C2, может выполнять команды оболочки, а также загружать и скачивать файлы. В данном случае злоумышленник развернул Gridtide на конечной точке, содержащей личную информацию — вероятно, для выявления и отслеживания интересующих лиц — включая полное имя, номер телефона, дату и место рождения, а также номера удостоверения избирателя и национального удостоверения личности.
Хотя ответчики Google не зафиксировали фактической кражи данных, предыдущие шпионские кампании, связанные с правительством Китая, включали кражу записей о звонках и незашифрованных SMS-сообщений, а также злоупотребление системами законного перехвата телекоммуникационных компаний.
GTIG заявляет, что уведомила всех жертв этой кампании и «активно оказывает поддержку» тем, кто пострадал. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
