Laut GTIG und Mandiant handelt es sich bei UNC2814 um einen besonders aktiven und schwer fassbaren Akteur, der seit Langem internationale Regierungen und globale Telekommunikationsunternehmen in Afrika, Asien und Amerika ins Visier nimmt. Google verfolgt die Gruppe seit 2017 und beobachtete, dass sie API-Aufrufe an Software-as-a-Service-Anwendungen (SaaS) als Steuerungsinfrastruktur (C2) nutzt, um den schädlichen Datenverkehr als harmlos zu tarnen.
Kern der Operationen ist die neuartige Backdoor GRIDTIDE. Die in C geschriebene Schadsoftware missbraucht die Google-Sheets-API als Kommunikationskanal, überträgt darüber Rohdaten und Shell-Befehle und unterstützt das Hoch- und Herunterladen von Dateien sowie die Ausführung beliebiger Shell-Befehle. Der C2-Mechanismus beruht auf einer zellenbasierten Abfrage, bei der einzelnen Tabellenzellen bestimmte Rollen zugewiesen werden, um eine wechselseitige Kommunikation zu ermöglichen.
GTIG-Forscher Dan Perez erklärte gegenüber The Hacker News, man könne nicht bestätigen, dass alle Einbrüche die GRIDTIDE-Backdoor einsetzten. Viele der Organisationen seien nach Einschätzung der Forscher bereits seit Jahren kompromittiert.
Wie sich UNC2814 den ersten Zugang verschafft, ist weiterhin Gegenstand der Untersuchung. Die Gruppe habe jedoch eine Vorgeschichte im Ausnutzen und Kompromittieren von Webservern und Edge-Systemen. Bei den Angriffen nutzte der Akteur ein Dienstkonto, um sich per SSH seitlich im Netzwerk zu bewegen, und setzte legitime Systemwerkzeuge (Living-off-the-Land-Binärdateien) für Aufklärung, Rechteausweitung und Persistenz ein. Für die dauerhafte Verankerung legte er laut Google einen Dienst unter /etc/systemd/system/xapt.service an, über den nach Aktivierung eine neue Instanz der Schadsoftware aus /usr/sbin/xapt gestartet wurde.
Auffällig ist zudem der Einsatz der SoftEther VPN Bridge, um eine ausgehende verschlüsselte Verbindung zu einer externen IP-Adresse aufzubauen. Der Missbrauch von SoftEther VPN wurde bereits mit mehreren chinesischen Hackergruppen in Verbindung gebracht.
Hinweise deuten darauf hin, dass GRIDTIDE auf Endgeräten mit personenbezogenen Daten (PII) abgelegt wird – ein Muster, das zur Überwachung von Zielpersonen im Rahmen von Cyberspionage passt. Eine Exfiltration von Daten beobachtete Google im Verlauf der Kampagne nach eigenen Angaben jedoch nicht.
Google wertet die Aktion als Teil zahlreicher paralleler Bemühungen chinesischer staatlicher Gruppen, sich für langfristigen Zugang in Netzwerken einzunisten. Der Netzwerkrand bleibe dabei besonders exponiert, da solche Geräte meist keine Schadsoftware-Erkennung auf Endpunktebene besitzen, zugleich aber direkten Netzwerkzugang oder Sprungpunkte zu internen Diensten bieten. Prolifische Einbrüche dieses Ausmaßes seien das Ergebnis jahrelanger Arbeit und ließen sich nicht leicht wiederherstellen; Google erwartet jedoch, dass UNC2814 hart daran arbeiten wird, seine globale Präsenz neu aufzubauen.
