- عطلت Google وMandiant وشركاؤها حملة تجسس UNC2814
- المجموعة المستخدمة غريد تايد الباب الخلفي يستفيد من Google Sheets API لـ C2
- طالت العملية 53 منظمة في 42 دولة منذ عام 2023؛ تم تعطيل البنية التحتية للمهاجم والحسابات
تمكنت شركة جوجل من إسقاط شبكة تجسس عالمية استهدفت مؤسسات حكومية وشركات اتصالات في أكثر من 40 دولة حول العالم.
وفي تقرير بحثي جديد، قالت جوجل إن مجموعة استخبارات التهديدات (GTIG) التابعة لها، جنبًا إلى جنب مع Mandiant وشركاء آخرين اكتشفوا ممثل تهديد صيني تابع للدولة تم تتبعه باسم UNC2814 يدير حملة تجسس جديدة.
في هذه الحملة الأحدث، كانت المجموعة تنشر برنامجًا ضارًا خلفيًا لم يسبق له مثيل يسمى GridTide، والذي استفاد من واجهة برمجة تطبيقات Google Sheets للبنية التحتية C2. فبدلاً من الاتصال بخادم بعيد في مكان ما لتلقي التعليمات وتصفية البيانات، يقوم الباب الخلفي بإرسال طلبات HTTPS إلى البنية التحتية الشرعية لـ Google، ويمتزج مع حركة مرور المؤسسة العادية وبالتالي لا يثير أي إنذارات.
تشويش المهاجمين
يتم تخزين جميع الأوامر في خلية جدول بيانات لمستند يخص المهاجمين. يقوم المشغلون بإدخال تعليمات مشفرة في صفوف أو خلايا محددة، ثم تقوم البرامج الضارة بعد ذلك بفحصها وفك تشفيرها وتنفيذها بشكل دوري.
في بعض الحالات، يمكن أيضًا إعادة كتابة البيانات المسربة مرة أخرى في الورقة – ومع ذلك، قالت GTIG إنها لم تلاحظ أي حالات لتسريب البيانات.
UNC2814 هو جهة تهديد معروفة نسبيًا، حيث تعود التقارير عن نشاطها إلى عام 2017 وربما قبل ذلك.
بدأت الحملة في عام 2023 وأثرت على 53 منظمة على الأقل في 42 دولة. تشتبه Google في وجود UNC2814 في 20 دولة أخرى على الأقل. ويبدو أن معظم أمريكا اللاتينية وأوروبا الشرقية وروسيا وأجزاء من أفريقيا وأجزاء من جنوب آسيا قد تعرضت للضرب. وباستثناء البرتغال، لم تتضرر أوروبا الغربية في الأغلب. ولم تمس الولايات المتحدة أيضاً.
وكجزء من جهود التعطيل، أنهت Google جميع مشاريع Google Cloud التي كان يسيطر عليها المهاجمون، مما أدى إلى قطع وصولهم المستمر إلى البيئات المخترقة بواسطة GridTide. لقد قاموا بتحديد وتعطيل جميع البنية التحتية المعروفة لـ UNC2814، وتعطيل حسابات المهاجمين، وإبطال الوصول إلى مكالمات Google Sheets API. وأخيرًا، أصدرت مجموعة من IoCs المرتبطة بالبنية التحتية UNC2814 النشطة منذ عام 2023 على الأقل.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات