Gián điệp mạng Trung Quốc xâm nhập hàng chục công ty viễn thông và cơ quan chính phủ

Nhóm Tình báo mối đe dọa của Google (GTIG) cùng Mandiant và các đối tác đã ngăn chặn một chiến dịch gián điệp toàn cầu được cho là do một nhóm tin tặc Trung Quốc thực hiện, sử dụng các cuộc gọi API SaaS để che giấu lưu lượng truy cập độc hại trong các cuộc tấn công nhắm vào mạng viễn thông và chính phủ.

Chiến dịch này được triển khai kể từ năm 2023 và tác động đến 53 tổ chức tại 42 quốc gia, với các trường hợp nghi lây nhiễm ở ít nhất 20 quốc gia khác. Phương thức truy cập ban đầu chưa được xác định, nhưng các nhà nghiên cứu lưu ý rằng kẻ tấn công - được Google theo dõi nội bộ với mã số UNC2814, trước đây đã từng truy cập bằng cách khai thác các lỗ hổng trong máy chủ web và hệ thống biên.

Các quốc gia bị ảnh hưởng bởi các cuộc tấn công UNC2814

Google cho biết trong chiến dịch gần đây, tin tặc triển khai một phần mềm độc hại dựa trên ngôn ngữ C mới có tên “GRIDTIDE”, lợi dụng API của Google Sheets để thực hiện các hoạt động liên lạc với máy chủ điều khiển và ra lệnh (C2) cũng như né tránh sự phát hiện. GRIDTIDE xác thực với Google Service Account bằng khóa bí mật mã hóa cứng. Khi khởi chạy, nó sẽ làm sạch bảng tính bằng cách xóa các hàng từ 1 đến 1000 và các cột từ A đến Z.

Sau đó, mã độc thực hiện việc thu thập thông tin máy chủ, bao gồm tên người dùng, tên máy chủ, chi tiết hệ điều hành, địa chỉ IP cục bộ, ngôn ngữ, múi giờ và ghi dữ liệu vào ô V1. Ô đầu tiên trong bảng tính, A1- là ô lệnh/trạng thái, nơi GRIDTIDE liên tục truy vấn để nhận hướng dẫn.

Nếu có bất kỳ chuỗi trạng thái nào tồn tại, phần mềm độc hại sẽ ghi đè chúng bằng một chuỗi trạng thái khác. Nếu trống, mã độc sẽ thử lại trong 120 lần, sau đó chuyển sang kiểm tra ngẫu nhiên 5 đến 10 phút một lần để giảm nhiễu.

Các lệnh được GRIDTIDE hỗ trợ bao gồm:

- C: Thực thi các lệnh bash được mã hóa Base64, ghi kết quả ra bảng tính.

- U (tải lên): Lấy dữ liệu trong A2:A và ghi tệp tại đường dẫn được mã hóa

- D (tải xuống): Đọc tệp cục bộ trên thiết bị đầu cuối, gửi nội dung theo từng đoạn khoảng 45 KB vào A2:An

Các ô A2-An được sử dụng để ghi kết quả đầu ra lệnh, các tệp tin bị đánh cắp và các công cụ tải lên.

Google báo cáo rằng các liên hệ của GRIDTIDE với C2 dựa trên một lược đồ mã hóa base64 URL, giúp tránh bị phát hiện bởi các công cụ giám sát web và hòa lẫn với lưu lượng truy cập thông thường.

Tổng quan hoạt động của GRIDTIDE

Ít nhất trong một trường hợp, Google xác nhận GRIDTIDE được triển khai trên một hệ thống chứa thông tin nhận dạng cá nhân nhạy cảm (PII). Tuy nhiên, các nhà nghiên cứu không trực tiếp quan sát thấy dữ liệu bị đánh cắp.

Google, Mandiant và các đối tác đã phối hợp hành động để phá vỡ chiến dịch bằng cách chấm dứt tất cả các dự án Google Cloud do UNC2814 kiểm soát, vô hiệu hóa cơ sở hạ tầng đã biết, thu hồi quyền truy cập API Google Sheets và tất cả các dự án đám mây được sử dụng trong các hoạt động C2. Các tên miền hiện tại và trước đây đều bị khóa.

Google đã liệt kê các quy tắc phát hiện ở cuối báo cáo, cũng như các chỉ báo về sự xâm phạm (IoC). Mặc dù chiến dịch bị gián đoạn trên diện rộng, Google nhận định các tin tặc UNC2814 sẽ hoạt động trở lại bằng cơ sở hạ tầng mới trong thời gian tới.