ほぼ10年間にわたり世界中の組織を標的とした多岐にわたるハッキング・サイバースパイキャンペーンが、Googleおよびそのパートナーにより崩壊させられました。
ブログ投稿で、Google脅威インテリジェンスグループ(GTIG)はUNC2814による悪意のある活動について詳述し、中国との関連が疑われるサイバースパイ活動で、2017年から活動しているグループについて説明しています。この技術大手は同グループを「多岐にわたる」および「捕捉困難な」と表現しています。
UNC2814はアフリカ、アジア、アメリカ大陸全域の政府機関および世界的な通信組織に対してサイバーキャンペーンを展開してきました。
Googleによる調査により、UNC2814の活動が42カ国の少なくとも53の被害者に影響を与えたことが確認されました。同グループの疑わしい活動はさらに20カ国以上で観察されました。
初期アクセス方法は特定されていませんが、Googleは同様のキャンペーンが侵害されたウェブサーバーおよびエッジシステム経由でアクセスを獲得していることに言及しています。
GridTide:Google Sheetsに隠れた新規バックドア
UNC2814キャンペーンの鍵となったのは、GoogleとMandiantがGridTideと呼んだ新規バックドアであり、これは任意のシェルコマンドを実行し、ファイルをアップロード・ダウンロードする能力を備えています。
珍しいことに、GridTideはGoogle Sheetsをコマンド・アンド・コントロール(C2)プラットフォームとして活用しました。攻撃者はスプレッドシートをドキュメントとしてではなく、生データとシェルコマンドの転送用通信チャネルとして使用していました。
これにより、攻撃者は悪意のあるトラフィックを正規のクラウドAPIリクエスト内に偽装し、標準的なネットワーク検出ツールで検出されないようにすることができました。
Googleが講じた措置により、攻撃者が管理していたすべてのGoogle Cloud Projectsが終了され、環境への継続的なアクセスが効果的に遮断されました。また、攻撃者のアカウントが無効化され、C2に利用されたGoogle Sheets APIコールへのアクセスが取り消されました。
Googleによると、UNC2814はGridTideが提供するバックドアアクセスを利用して、標的となった通信機関および政府機関における関心対象者を特定し、追跡し、監視していた可能性が高いです。
キャンペーンの分析は機密データの流出を直接検出しませんでしたが、研究者は同様の中国関連サイバースパイキャンペーンが通話データ記録と暗号化されていないSMSメッセージの盗難をもたらしており、反体制派や活動家に対する監視を可能にすること、および従来の国家ベースのサイバースパイ活動の標的となることを目的としていることに注意しています。
当初、このキャンペーンはGoogleが追跡するグループUNC2286が実施したものと似ているように見えました。このグループは一般的にSalt Typhoonとして知られています。しかし、Googleは「UNC2814はSalt Typhoonとして公式に報告された活動と観察された重複がない」ことを強調しています。
にもかかわらず、GoogleはUNC2814活動のグローバルな規模が「通信および政府部門が直面する深刻な脅威を強調している」と警告しています。
「この規模の多岐にわたる侵入は一般的に数年にわたる集中的な努力の結果であり、簡単には再確立されません。UNC2814がグローバルなフットプリントを再確立するために懸命に取り組むことを期待しています」とGITGは結論づけました。
Googleは、UNC2814の被害者に活動について通知し、脅威グループによって侵害された組織へのサポート提供を申し出たと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/google-prolific-china-hacking/
