business user spreadsheet by pushish images via shutterstock

Des pirates informatiques liés à la Chine ont utilisé Google Sheets pour espionner les télécommunications et les gouvernements dans 42 pays.

Lucas Morel

La porte dérobée GRIDTIDE a dissimulé son trafic dans les activités de routine des feuilles de calcul pendant des années avant que Google ne mette fin à ses opérations la semaine dernière.

Google a démantelé un groupe d’espionnage lié à la Chine qui utilisait son tableur comme outil d’espionnage secret pour compromettre les fournisseurs de télécommunications et les agences gouvernementales dans 42 pays, en envoyant des commandes et en recevant des données volées par son intermédiaire, a déclaré jeudi le Threat Intelligence Group (GTIG) de Google.

En collaboration avec Mandiant, GTIG a confirmé des intrusions dans 53 organisations réparties dans 42 pays, et des infections suspectées dans au moins 20 autres. Le groupe, identifié par Google comme UNC2814, est un acteur présumé lié à la RPC que GTIG suit depuis 2017.

« Cet acteur prolifique et insaisissable cible depuis longtemps les gouvernements internationaux et les organisations mondiales de télécommunications en Afrique, en Asie et dans les Amériques », a déclaré GTIG dans un article de blog.

Contrairement à Salt Typhoon, UNC2814, le groupe lié à la Chine dont les intrusions dans les opérateurs de télécommunications américains ont attiré l’attention du Congrès et des régulateurs fédéraux l’année dernière, opère avec des tactiques distinctes et cible un ensemble différent de victimes à l’échelle mondiale, ajoute le message.

La manière dont l’UNC2814 prend pied n’a pas été déterminée, bien que GTIG ait déclaré que le groupe avait l’habitude d’exploiter et de compromettre les serveurs Web et les systèmes de pointe. Une fois à l’intérieur, il a déployé une nouvelle porte dérobée et maintenu un accès persistant sur les réseaux cibles.

Une feuille de calcul reconvertie en outil d’espionnage

Cette porte dérobée, que GTIG a nommée GRIDTIDE, ne communiquait pas comme le font la plupart des logiciels malveillants. « La porte dérobée exploite Google Sheets comme une plate-forme C2 à haute disponibilité, traitant la feuille de calcul non pas comme un document, mais comme un canal de communication pour faciliter le transfert de données brutes et de commandes shell », a déclaré GTIG.

Les attaquants ont écrit des commandes dans des cellules de feuille de calcul et en ont récupéré les données volées de la même manière. Le logiciel malveillant a interrogé la feuille toutes les secondes à la recherche de nouvelles instructions, a rédigé des mises à jour de statut une fois la tâche terminée et a effacé les 1 000 premières lignes au début de chaque session pour effacer les traces d’activité antérieure, explique le billet de blog.

« Cette activité n’est pas le résultat d’une faille de sécurité dans les produits de Google ; elle abuse plutôt de la fonctionnalité légitime de l’API Google Sheets pour dissimuler le trafic C2 », a ajouté GTIG.

« Le détail le plus troublant de la porte dérobée GRIDTIDE est la façon dont elle abuse des appels légitimes de l’API Google Sheets pour fonctionner comme son canal C2, tout en utilisant des techniques telles que » vivre de la terre « pour se fondre dans les activités régulières de l’entreprise », a déclaré Andrew Costis, responsable de l’équipe de recherche adverse chez AttackIQ. « Ce camouflage fait gagner du temps aux attaquants en contournant les déclencheurs sur lesquels s’appuient les défenseurs, comme les signatures évidentes de logiciels malveillants ou le balisage bruyant, et en se cachant dans les mêmes modèles d’applications cloud que les équipes sont habituées à voir. »

Comment Mandiant l’a trouvé

La campagne a été révélée lors d’une enquête de Mandiant Threat Defense, lorsque les analystes ont signalé une activité inhabituelle sur un serveur CentOS. Un binaire nommé xapt, conçu pour se faire passer pour le gestionnaire de paquets apt sur les systèmes Linux basés sur Debian, était déjà passé à la racine et exécutait des commandes shell pour confirmer son niveau d’accès, a déclaré GTIG.

L’attaquant disposait des privilèges disponibles les plus élevés sur le système avant que l’alerte ne soit déclenchée.

À partir de là, l’acteur malveillant a utilisé un compte de service pour se déplacer latéralement via SSH, a déployé des binaires vivant hors du terrain à des fins de reconnaissance et a installé GRIDTIDE en tant que service systemd persistant pour survivre aux redémarrages. L’acteur malveillant a également déployé SoftEther VPN Bridge pour maintenir un canal sortant crypté.

« Les métadonnées de configuration VPN suggèrent que l’UNC2814 exploite cette infrastructure spécifique depuis juillet 2018 », a déclaré GTIG.

L’étendue de cet accès est devenue claire lorsque les enquêteurs ont examiné ce que les attaquants visaient.

La véritable cible, ce sont les individus

Les attaquants ont implanté GRIDTIDE sur des points finaux contenant des informations personnelles identifiables, notamment des noms complets, des numéros de téléphone, des dates de naissance, des identifiants d’électeur et des numéros d’identification nationaux.

« Nous estimons que le ciblage des informations personnelles dans le cadre de cet engagement est cohérent avec les activités de cyberespionnage dans les télécommunications, qui sont principalement exploitées pour identifier, suivre et surveiller les personnes d’intérêt », a déclaré GTIG dans le message.

GTIG n’a pas observé directement l’exfiltration au cours de cette campagne, mais a noté que « les intrusions historiques d’espionnage liées à la RPC contre les télécommunications ont abouti au vol d’enregistrements de données d’appels, de messages SMS non cryptés, ainsi qu’à la compromission et à l’abus de systèmes d’interception légaux ».

Les groupes de cyberespionnage chinois ont toujours donné la priorité aux télécommunications comme cible, précisément en raison de l’accès que leurs réseaux offrent aux communications sensibles et aux infrastructures d’interception légales.

« Lorsque les entreprises de télécommunications et les agences gouvernementales se trouvent dans le rayon de l’explosion, les enjeux dépassent le simple rapport d’incident d’une entreprise », a déclaré Costis. « L’accès aux environnements de télécommunications peut permettre une vaste collecte de renseignements, aider à cartographier les relations et créer des opportunités de surveillance à long terme difficiles à démêler une fois compromises. »

Pour démanteler l’opération, GTIG a mis fin à tous les projets Google Cloud contrôlés par les attaquants, désactivé leurs comptes, révoqué l’accès à l’API Google Sheets et mis à l’écart les domaines C2 actuels et historiques. Il a déclaré avoir également informé les organisations concernées et publié des indicateurs de compromission via Google Threat Intelligence, notamment des adresses IP, des domaines et des hachages de fichiers liés à UNC2814.

Groupes de hackersPiratageCybercriminalitéSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

2550174839 Viruses in the program. Bugs and errors. Backdoor for hackers and malware hidden in the program. Cyber security and protection of device data.
Arrêtez d’utiliser l’IA pour soumettre des rapports de bogues, déclare Google
shutterstock 2416896949 The Black Sheep In The Herd Of White Sheep insider threat security cybersecurity vulnerability
Un scanner de vulnérabilité Trivy détourné par un voleur d’informations d’identification lors d’une attaque de la chaîne d’approvisionnement
Cyber Insurance Re-Upload 2
Les nations sont-elles prêtes à être les assureurs de cybersécurité en dernier ressort ?