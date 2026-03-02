Google se svými partnery rozbil podezřelou hackerskou skupinu UNC2814 údajně podporovanou čínskou vládou. Skoro deset let cílila na vladní a telekomunikační organizace, zejména v Americe, Asii a Africe.
Společnost její aktivity sledovala od roku 2017, až teď však ukončila její cloudové projekty, deaktivovala související infrastrukturu a účty, včetně těch navázaných na Google Tabulky, které skupina používala pro plánování a řízení svých operací.
K 18. únoru vyšetřovatelé potvrdili 53 obětí ve 42 zemích, přičemž podezření na infekci existuje v nejméně dvaceti dalších zemích. Google uvedl, že nemá přehled o konkrétních cílech, ale poznamenal, že předchozí čínské špionážní kampaně proti telekomunikačním společnostem se zaměřovaly na sledování disidentů, aktivistů a dalších cílů zpravodajských služeb. Úroveň přístupu dosažená v tomto případě by umožnila podobné operace.
Kampaň vyšla najevo díky kyberbezpečnostní společnosti Mandiant, která vyšetřovala podezřelé aktivity v systému jednoho ze svých zákazníků. Její analytici identifikovali škodlivý soubor s názvem „/var/tmp/xapt“, který útočníkům otevřel plný přístup k systému (tzv. root práva).
Podle Googlu byl název zvolen záměrně tak, aby připomínal běžný nástroj „apt“, používaný v linuxových systémech Debian a Ubuntu. Díky tomu mohl škodlivý program snadněji splynout s běžnými soubory a nevzbudit pozornost.
Jakmile se útočníci do systému dostali, začali se v něm pohybovat dál, zjišťovali další informace a postupně si zvyšovali oprávnění. Nakonec nasadili vlastní zadní vrátka (backdoor) s názvem Gridtide. Tento škodlivý program využíval běžné funkce Google Tabulek k tajné komunikaci s útočníky. Jinými slovy – místo podezřelého serveru používal ke komunikaci běžnou službu Googlu, což ztěžovalo jeho odhalení.
Gridtide dokázal na napadeném počítači spouštět příkazy a odesílat nebo stahovat soubory. Spouštěl se tak, aby běžel dál i po odhlášení uživatele. Útočníci navíc použili nástroj SoftEther VPN, který jim umožnil vytvořit šifrované spojení ven ze sítě oběti.
V jednom případě byl Gridtide nasazen na systému obsahujícím citlivé osobní údaje – jména, telefonní čísla, data a místa narození nebo identifikační čísla. To naznačuje možné sledování konkrétních osob. Google sice neviděl přímý důkaz, že by data byla skutečně odcizena, upozorňuje však, že v minulosti podobné kampaně zahrnovaly krádeže telefonních záznamů, nešifrovaných SMS zpráv nebo zneužití odposlechových systémů. Google uvedl, že všechny známé oběti o útoku informoval a pomáhá jim s nápravou situace.
