В среду компания Google совместно с неназванными отраслевыми партнерами объявила о пресечении масштабной глобальной кампании по кибершпионажу. В ходе расследования было подтверждено как минимум 53 успешных взлома систем в 42 странах. При этом эксперты подозревают, что злоумышленникам удалось осуществить заражения еще более чем в 20 государствах, что увеличивает общий охват кибероперации до более чем 70 стран.
За атаками стоит кибершпионская группировка UNC2814, предположительно являющаяся правительственной хакерской группой, связанной с властями Китая. Специалисты Google ведут непрерывное наблюдение за данным субъектом угроз с 2017 года. Основными целями хакеров стали международные правительственные учреждения и глобальные телекоммуникационные организации, расположенные в Африке, Азии, а также в Северной и Южной Америке.
Главная задача кампании заключалась в кибершпионаже, сфокусированном на слежке за конкретными лицами путем целевого взлома конечных точек, содержащих персональные данные (PII). Несмотря на целенаправленный поиск персональной информации, в рамках именно этой кампании специалисты Google не зафиксировали фактов кражи и вывода данных (экфильтрации) за пределы взломанных систем.
Для реализации своих планов группировка использовала совершенно новый бэкдор, написанный на языке C, получивший название GRIDTIDE. Это вредоносное программное обеспечение способно загружать и скачивать файлы, передавать необработанные данные и выполнять произвольные команды оболочки. Чтобы скрыть вредоносный трафик и выдать его за легитимный, GRIDTIDE использует вызовы API для взаимодействия с приложениями по модели Software-as-a-Service (SaaS), в частности, злоупотребляя Google Sheets API в качестве канала управления и контроля (C2).
Механизм управления инфраструктурой через Google Таблицы опирается на специфический «клеточный механизм опроса», обеспечивающий скрытую двустороннюю связь. Ячейка A1 используется для запроса команд от атакующего; при получении она перезаписывается ответным статусом, таким как «S-C-R» или «Server-Command-Success». Ячейки в диапазоне от A2 до An применяются для прямой передачи данных, включая файлы и вывод команд, в то время как ячейка V1 служит хранилищем для системной информации, извлеченной со взломанной конечной точки жертвы.
Точный метод первоначального проникновения в системы в данный момент расследуется, однако исторически группировка UNC2814 компрометирует веб-серверы и периферийные системы (edge systems). Для горизонтального (бокового) перемещения внутри атакованной инфраструктуры злоумышленники используют служебную учетную запись по протоколу SSH. Разведка и повышение привилегий в системе осуществляются с помощью встроенных легитимных утилит, известных как Living-off-the-Land (LotL-бинарники).
Для закрепления и обеспечения постоянного присутствия в системе вредоносное ПО создает службу по пути
Чтобы остановить кампанию, Google предприняла комплекс жестких мер. Корпорация удалила все проекты Google Cloud, контролируемые атакующими, отключила всю известную инфраструктуру UNC2814 и закрыла доступ к учетным записям хакеров. Кроме того, были заблокированы все вызовы Google Sheets API, которые злоумышленники использовали для управления сетью. Всем атакованным целям были разосланы официальные уведомления о компрометации, а организациям с подтвержденным взломом оказана активная техническая поддержка.
Согласно отчету, опубликованному Google Threat Intelligence Group (GTIG) и Mandiant, активность UNC2814 стала одной из «самых далеко идущих и результативных кампаний», с которыми специалисты сталкивались за последние годы. Китайские правительственные хакеры стремятся внедряться в сети для долгосрочного доступа, нанося основной удар по периферии сети. Периферийные устройства становятся главной мишенью из-за уязвимостей и неправильных настроек, поскольку на них обычно отсутствует антивирусное ПО (endpoint malware detection), но при этом они обеспечивают прямой доступ к сети и служат идеальной точкой перехода к внутренним сервисам.
Подобные тщательно спланированные вторжения способны легко избегать обнаружения системами защиты. По оценкам экспертов Google, создание инфраструктуры такого масштаба требует «годов целенаправленных усилий и не будет легко восстановлено». Тем не менее, в отчете содержится официальное предупреждение о том, что «UNC2814 будет усердно работать над тем, чтобы восстановить свое глобальное присутствие».
Изображение носит иллюстративный характер
За атаками стоит кибершпионская группировка UNC2814, предположительно являющаяся правительственной хакерской группой, связанной с властями Китая. Специалисты Google ведут непрерывное наблюдение за данным субъектом угроз с 2017 года. Основными целями хакеров стали международные правительственные учреждения и глобальные телекоммуникационные организации, расположенные в Африке, Азии, а также в Северной и Южной Америке.
Главная задача кампании заключалась в кибершпионаже, сфокусированном на слежке за конкретными лицами путем целевого взлома конечных точек, содержащих персональные данные (PII). Несмотря на целенаправленный поиск персональной информации, в рамках именно этой кампании специалисты Google не зафиксировали фактов кражи и вывода данных (экфильтрации) за пределы взломанных систем.
Для реализации своих планов группировка использовала совершенно новый бэкдор, написанный на языке C, получивший название GRIDTIDE. Это вредоносное программное обеспечение способно загружать и скачивать файлы, передавать необработанные данные и выполнять произвольные команды оболочки. Чтобы скрыть вредоносный трафик и выдать его за легитимный, GRIDTIDE использует вызовы API для взаимодействия с приложениями по модели Software-as-a-Service (SaaS), в частности, злоупотребляя Google Sheets API в качестве канала управления и контроля (C2).
Механизм управления инфраструктурой через Google Таблицы опирается на специфический «клеточный механизм опроса», обеспечивающий скрытую двустороннюю связь. Ячейка A1 используется для запроса команд от атакующего; при получении она перезаписывается ответным статусом, таким как «S-C-R» или «Server-Command-Success». Ячейки в диапазоне от A2 до An применяются для прямой передачи данных, включая файлы и вывод команд, в то время как ячейка V1 служит хранилищем для системной информации, извлеченной со взломанной конечной точки жертвы.
Точный метод первоначального проникновения в системы в данный момент расследуется, однако исторически группировка UNC2814 компрометирует веб-серверы и периферийные системы (edge systems). Для горизонтального (бокового) перемещения внутри атакованной инфраструктуры злоумышленники используют служебную учетную запись по протоколу SSH. Разведка и повышение привилегий в системе осуществляются с помощью встроенных легитимных утилит, известных как Living-off-the-Land (LotL-бинарники).
Для закрепления и обеспечения постоянного присутствия в системе вредоносное ПО создает службу по пути
/etc/systemd/system/xapt.service. После её активации новый экземпляр вируса автоматически запускается из файла /usr/sbin/xapt. В качестве дополнительного инструмента атакующие развертывают SoftEther VPN Bridge для установки исходящего зашифрованного соединения с внешним IP-адресом — тактика, которая исторически ассоциируется с несколькими китайскими хакерскими группами. Чтобы остановить кампанию, Google предприняла комплекс жестких мер. Корпорация удалила все проекты Google Cloud, контролируемые атакующими, отключила всю известную инфраструктуру UNC2814 и закрыла доступ к учетным записям хакеров. Кроме того, были заблокированы все вызовы Google Sheets API, которые злоумышленники использовали для управления сетью. Всем атакованным целям были разосланы официальные уведомления о компрометации, а организациям с подтвержденным взломом оказана активная техническая поддержка.
Согласно отчету, опубликованному Google Threat Intelligence Group (GTIG) и Mandiant, активность UNC2814 стала одной из «самых далеко идущих и результативных кампаний», с которыми специалисты сталкивались за последние годы. Китайские правительственные хакеры стремятся внедряться в сети для долгосрочного доступа, нанося основной удар по периферии сети. Периферийные устройства становятся главной мишенью из-за уязвимостей и неправильных настроек, поскольку на них обычно отсутствует антивирусное ПО (endpoint malware detection), но при этом они обеспечивают прямой доступ к сети и служат идеальной точкой перехода к внутренним сервисам.
Подобные тщательно спланированные вторжения способны легко избегать обнаружения системами защиты. По оценкам экспертов Google, создание инфраструктуры такого масштаба требует «годов целенаправленных усилий и не будет легко восстановлено». Тем не менее, в отчете содержится официальное предупреждение о том, что «UNC2814 будет усердно работать над тем, чтобы восстановить свое глобальное присутствие».
