Google hat gemeinsam mit Partnern die Infrastruktur der chinesischen Hackergruppe UNC2814 zerschlagen, die mindestens 53 Organisationen in 42 Ländern kompromittiert hatte. Die Gruppe nutzte eine neuartige Malware namens GRIDTIDE, die Google Sheets als Kommunikationskanal für ihre Befehle missbrauchte.
Google hat am Mittwoch offengelegt, dass es zusammen mit Industrie-Partnern die Infrastruktur der mutmaßlich China-gesteuerten Hackergruppe UNC2814 zerschlagen konnte. Die Cyberspionage-Gruppe war für Angriffe auf mindestens 53 Organisationen in 42 Ländern verantwortlich.
“Dieser produktive und schwer zu fassende Akteur hat eine lange Geschichte darin, internationale Regierungen und globale Telekommunikationsunternehmen in Afrika, Asien und Amerika ins Visier zu nehmen”, heißt es in einem Bericht von Googles Threat Intelligence Group (GTIG) und Mandiant.
UNC2814 wird zudem mit Infektionen in mehr als 20 weiteren Ländern in Verbindung gebracht. Google, das die Gruppe bereits seit 2017 überwacht, dokumentierte, dass sie API-Aufrufe nutzte, um mit Software-as-a-Service-Anwendungen zu kommunizieren und damit ihre Befehles- und Kontrollinfrastruktur vor Erkennung zu verstecken. Auf diese Weise wurde böswilliger Datenverkehr als normal getarntes Traffic getarnt.
Zentral für die Operationen der Hackergruppe ist eine neuartige Backdoor namens GRIDTIDE, die die Google Sheets API als Kommunikationskanal missbraucht. Die C-basierte Malware unterstützt Dateiup- und Downloads sowie die Ausführung beliebiger Shell-Befehle. Damit ließ sich Kontrollverkehr camouflieren und Datenübertragungen realisieren.
Dan Perez, Forscher bei der GTIG, bestätigte gegenüber The Hacker News nicht, dass alle Intrusions-Fälle die GRIDTIDE-Backdoor nutzten. “Wir gehen davon aus, dass viele dieser Organisationen seit Jahren kompromittiert sind”, sagte Perez.
Wie UNC2814 initial Zugriff auf Systeme erlangte, wird noch untersucht. Allerdings ist bekannt, dass die Gruppe eine Geschichte darin hat, Webserver und Edge-Systeme auszunutzen und zu kompromittieren.
Die Attacken nutzten Dienstkonten für seitliche Bewegungen innerhalb der Netzwerke über SSH. Zudem setzten die Angreifer sogenannte Living-off-the-Land-Binaries ein, um Aufklärung zu betreiben, Privilegien zu eskalieren und Persistenz für die Backdoor zu etablieren.
“Um Persistenz zu gewährleisten, erstellten die Angreifer einen Dienst für die Malware unter /etc/systemd/system/xapt.service, und nach der Aktivierung wurde eine neue Instanz der Malware von /usr/sbin/xapt aus gestartet”, erklärte Google.
Ein weiterer wichtiger Aspekt war der Einsatz von SoftEther VPN Bridge, um eine ausgehende verschlüsselte Verbindung zu einer externen IP-Adresse aufzubauen. Der Missbrauch von SoftEther VPN wurde bereits mit mehreren chinesischen Hackergruppen in Verbindung gebracht.
Es gibt Hinweise darauf, dass GRIDTIDE auf Systemen installiert wurde, die personenidentifizierende Informationen (PII) enthielten — ein Zeichen von Spionageaktivitäten gegen Zielpersonen. Google betont jedoch, dass es während der Kampagne keine tatsächlichen Datenabflüsse beobachtete.
GRIDTIDE nutzt einen zellenbasierten Abfragmechanismus, bei dem bestimmte Rollen Tabellenkalkulationszellen zugewiesen werden, um bidirektionale Kommunikation zu ermöglichen.
Google beschreibt UNC2814 als eine der “weitreichendsten und wirkungsvollsten Kampagnen” der letzten Jahre. Das Unternehmen sperrte alle von den Angreifern kontrollierten Google Cloud-Projekte, deaktivierte die bekannte Infrastruktur von UNC2814 und unterband den Zugriff auf Angreifer-gesteuerte Konten sowie die missbräuchlich genutzten Google Sheets API-Aufrufe.
Die Entdeckung unterstreicht, dass chinesische staatliche Hackergruppen systematisch versuchen, sich in Netzwerke einzunisten, um langfristigen Zugriff zu erlangen. Auch zeigt sich, dass das Netzwerk-Edge weiterhin im Visier von Angreifern steht — häufig durch Ausnutzung von Schwachstellen und Fehlkonfigurationen in Edge-Appliances.
Solche Geräte sind in den letzten Jahren zu attraktiven Zielen geworden, da sie typischerweise keinen Endpunkt-Malware-Schutz haben, aber direkten Netzwerkzugriff oder Pivot-Punkte zu internen Systemen bieten.
“Der globale Umfang von UNC2814s Aktivitäten, mit bestätigten oder vermuteten Operationen in über 70 Ländern, unterstreicht die ernsthafte Bedrohung für Telekommunikations- und Regierungssektoren und die Fähigkeit dieser Eindringlinge, der Erkennung durch Verteidiger zu entgehen”, sagte Google.
“Massive Intrusions dieses Ausmaßes sind normalerweise das Ergebnis jahrelanger fokussierter Bemühungen und werden nicht leicht wiederhergestellt. Wir erwarten, dass UNC2814 hart daran arbeiten wird, seine globale Präsenz wiederherzustellen.”
Quelle: The Hacker News