Campanha de Espionagem Global Visa Setores Governamentais e de Telecomunicações
O Grupo de Inteligência de Ameaças da Google (GTIG) e a empresa de cibersegurança Mandiant se uniram para combater uma sofisticada campanha de espionagem global. Os hackers chineses responsáveis pela ação utilizaram chamadas de API SaaS (software como serviço) no Google Planilhas para ocultar tráfego malicioso e atacar principalmente setores de telecomunicações e redes governamentais, inclusive no Brasil.
Essa campanha, ativa desde pelo menos 2023, já atingiu 53 empresas em 42 países, com suspeitas de invasão em mais 20 outras nações. O vetor de acesso inicial ainda é desconhecido, mas o atacante, identificado internamente como UNC2814, tem histórico de exploração de falhas em servidores web e sistemas de borda.
Como Funciona o Malware GRIDTIDE
Na campanha mais recente, os criminosos utilizaram uma nova backdoor baseada em C chamada GRIDTIDE. Este malware abusa da API do Google Sheets para receber comandos de servidores maliciosos. Com uma chave privada hardcoded, o malware se autentica em uma conta Google e limpa a planilha ao excluir as linhas 1 a 1000 e colunas de A a Z.
Após o procedimento inicial, o GRIDTIDE realiza reconhecimento do sistema, coletando informações como nome de usuário, nome do host, detalhes do sistema operacional, IP, localização e fuso horário, anotando esses dados na célula V1. A célula A1 é utilizada para comandos e status do ataque, recebendo instruções constantemente.
Técnicas de Evasão e Comandos Utilizados
Os comandos utilizados pelo malware incluem execução de bashs Base64, escrita de resultados na planilha, upload e download de arquivos. As células de A2 a AN são usadas para escrever comandos, extrair arquivos e atualizar ferramentas. O esquema de codificação base64 é empregado para evitar detecção por monitoramento web, se escondendo em meio ao tráfego comum.
Essa técnica de camuflagem permite que o malware passe despercebido, pois o tráfego gerado parece ser apenas atividade normal de planilhas, dificultando a detecção por sistemas de segurança convencionais.
Mitigação e Proteção Contra Ameaças
Google, Mandiant e parceiros que atuaram na mitigação da campanha fecharam todos os projetos controlados pelo UNC2814, desabilitando a infraestrutura do grupo e revogando acesso à API do Google Planilhas. Organizações impactadas pelo GRIDTIDE foram notificadas e receberam suporte especializado para lidar com as infecções.
A Google também disponibilizou regras de detecção e indicadores de comprometimento dos aparelhos afetados, permitindo que empresas e instituições governamentais possam identificar e neutralizar possíveis ameaças semelhantes.
Implicações para a Segurança Cibernética
Este caso demonstra como hackers chineses estão se tornando cada vez mais sofisticados em suas táticas de espionagem cibernética. O uso de ferramentas legítimas como o Google Planilhas para atividades maliciosas representa um desafio significativo para as equipes de segurança, que devem adaptar constantemente suas estratégias de detecção e prevenção.
Organizações governamentais e empresas de telecomunicações devem revisar seus protocolos de segurança, implementar monitoramento avançado de API e capacitar seus funcionários para reconhecer possíveis sinais de comprometimento. A colaboração entre empresas de tecnologia e especialistas em cibersegurança continua sendo fundamental para combater essas ameaças emergentes.
A conscientização sobre essas táticas inovadoras de ataque é essencial para fortalecer a resiliência cibernética global e proteger informações sensíveis contra operações de espionagem patrocinadas por estados nacionais.