Le Google Threat Intelligence Group (GTIG) et Mandiant révèlent avoir déjoué une campagne d’espionnage mondiale orchestrée par UNC2814, un groupe soupçonné d’être lié à la Chine et actif depuis au moins 2017. Un total de 53 intrustions attribuées à UNC2814 ont été confirmées dans 42 pays, voire des cibles dans plus de 20 autres pays.
Un détournement de l’API de Google Sheets
Le groupe UNC2814 s’est appuyé sur un malware baptisé GRIDTIDE qui est une backdoor capable d’exécuter des commandes à distance et de transférer des fichiers. Sa particularité résidait dans son utilisation de l’API de Google Sheets comme canal de commande et de contrôle.
En abusant de cette fonctionnalité légitime, les attaquants parvenaient à se fondre dans le trafic réseau normal et à masquer leurs activités malveillantes. Google précise qu’il n’y avait pas de lien avec une vulnérabilité de sécurité et une exploitation dans Google Sheets.
Une incertitude sur les données dérobées
Les cibles principales étaient des fournisseurs de télécommunications et des organisations gouvernementales. L’objectif semblait être l’espionnage pour » identifier, suivre et surveiller les communications de personnes d’intérêt « .
A priori, les attaquants cherchaient à exfiltrer des données comme des noms complets, numéros de téléphone, journaux d’appels, SMS et même des numéros d’identification nationale et d’électeur. Le GTIG précise toutefois avoir une visibilité limitée sur les données volées lors de la campagne.
Un autre élément apporté est que le groupe UNC2814 est distinct de Salt Typhoon, parce qu’il utilise des tactiques et une infrastructure uniques.
Une menace écartée pour le moment
En collaboration avec des partenaires, Google indique avoir » mis fin à tous les projets cloud crontôlés par l’attaquant, désactivé les comptes connus et supprimé les domaines actuels et historiques afin de couper l’accès aux environnements compromis. «
L’ensemble de l’infrastructure connue de UNC2814 a été désactivé, et les comptes des attaquants ainsi que leur accès à l’API Google Sheets ont été révoqués. » Cette intervention devrait perturber une décennie d’efforts du groupe d’attaquants UNC2814 pour établir sa présence mondiale significative. «
Des notifications ont en outre été émises auprès de toutes les victimes identifiées. Cela étant, il est presque sûr que le groupe UNC2814 travaille dur à se remettre sur pied.