Google se svými partnery rozbil podezřelou hackerskou skupinu UNC2814 údajně podporovanou čínskou vládou. Skoro deset let cílila na vladní a telekomunikační organizace, zejména v Americe, Asii a Africe.
Společnost její aktivity sledovala od roku 2017, až teď však ukončila její cloudové projekty, deaktivovala související infrastrukturu a účty, včetně těch navázaných na Google Tabulky, které skupina používala pro plánování a řízení svých operací.
K 18. únoru vyšetřovatelé potvrdili 53 obětí ve 42 zemích, přičemž podezření na infekci existuje v nejméně dvaceti dalších zemích. Google uvedl, že nemá přehled o konkrétních cílech, ale poznamenal, že předchozí čínské špionážní kampaně proti telekomunikačním společnostem se zaměřovaly na sledování disidentů, aktivistů a dalších cílů zpravodajských služeb. Úroveň přístupu dosažená v tomto případě by umožnila podobné operace.
Kampaň vyšla najevo díky kyberbezpečnostní společnosti Mandiant, která vyšetřovala podezřelé aktivity v systému jednoho ze svých zákazníků. Její analytici identifikovali škodlivý soubor s názvem „/var/tmp/xapt“, který útočníkům otevřel plný přístup k systému (tzv. root práva).
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Podle Googlu byl název zvolen záměrně tak, aby připomínal běžný nástroj „apt“, používaný v linuxových systémech Debian a Ubuntu. Díky tomu mohl škodlivý program snadněji splynout s běžnými soubory a nevzbudit pozornost.
Jakmile se útočníci do systému dostali, začali se v něm pohybovat dál, zjišťovali další informace a postupně si zvyšovali oprávnění. Nakonec nasadili vlastní zadní vrátka (backdoor) s názvem Gridtide. Tento škodlivý program využíval běžné funkce Google Tabulek k tajné komunikaci s útočníky. Jinými slovy – místo podezřelého serveru používal ke komunikaci běžnou službu Googlu, což ztěžovalo jeho odhalení.
Gridtide dokázal na napadeném počítači spouštět příkazy a odesílat nebo stahovat soubory. Spouštěl se tak, aby běžel dál i po odhlášení uživatele. Útočníci navíc použili nástroj SoftEther VPN, který jim umožnil vytvořit šifrované spojení ven ze sítě oběti.
V jednom případě byl Gridtide nasazen na systému obsahujícím citlivé osobní údaje – jména, telefonní čísla, data a místa narození nebo identifikační čísla. To naznačuje možné sledování konkrétních osob. Google sice neviděl přímý důkaz, že by data byla skutečně odcizena, upozorňuje však, že v minulosti podobné kampaně zahrnovaly krádeže telefonních záznamů, nešifrovaných SMS zpráv nebo zneužití odposlechových systémů. Google uvedl, že všechny známé oběti o útoku informoval a pomáhá jim s nápravou situace.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU