Nubi di Inganno: l’abbattimento globale di Google di una rete di spionaggio cinese

È iniziato con un sussurro attraverso le reti del mondo: colossi delle telecomunicazioni e agenzie governative in decine di Paesi non hanno notato nulla di anomalo. Ma sotto la superficie, una sofisticata campagna di cyber-spionaggio - estesa su quattro continenti - stava sottraendo in silenzio dati sensibili. Questa settimana, Google e i suoi partner hanno esposto e interrotto l’operazione nell’ombra, mettendo a nudo la portata e l’astuzia di un gruppo di hacker collegato allo Stato cinese noto come UNC2814.

L’anatomia di una violazione globale

La campagna di UNC2814 è stata al tempo stesso audace e sottile. Operativo almeno dal 2017, il gruppo ha preso di mira operatori di telecomunicazioni strategici e agenzie governative - fonti privilegiate di comunicazioni sensibili e informazioni personali. A differenza dei cybercriminali “mordi e fuggi”, il loro obiettivo era l’accesso di lungo periodo, la sorveglianza e la raccolta di intelligence, riecheggiando i tratti distintivi dello spionaggio sponsorizzato da uno Stato.

Ciò che ha distinto questa campagna è stato l’impiego di una nuova backdoor malware chiamata GRIDTIDE. Invece di affidarsi a exploit evidenti, gli hacker hanno abusato di chiamate legittime alle API di Google Sheets per confondere il traffico malevolo nel ronzio quotidiano dell’attività cloud. Il codice di GRIDTIDE, scritto in C, poteva eseguire comandi, trasferire file ed esfiltrare dati - il tutto nascondendo le proprie tracce dentro richieste di fogli di calcolo apparentemente innocue.

Gli investigatori hanno scoperto che l’infezione iniziava tipicamente con la compromissione di sistemi esposti a Internet, sfruttando server web deboli e dispositivi edge. Una volta dentro, gli attaccanti usavano un binario malevolo (“xapt”) per fare ricognizione sul bersaglio, quindi installavano GRIDTIDE per un accesso persistente tramite un servizio di sistema camuffato. Il movimento laterale veniva realizzato usando credenziali rubate e VPN cifrate, consentendo agli hacker di scavare più a fondo nelle reti che conservavano grandi volumi di informazioni di identificazione personale (PII).

Forse l’aspetto più allarmante è stata la natura dei dati sottratti: nomi e cognomi completi, numeri di telefono, date di nascita e ID nazionali - materiale ideale per sorveglianza, tracciamento e ulteriori sfruttamenti. Questo richiama precedenti campagne collegate alla Cina che hanno abusato delle reti di telecomunicazioni per il monitoraggio di massa, arrivando persino a sfruttare sistemi di intercettazione legale per tracciare dissidenti e obiettivi di alto valore.

Google contrattacca

Il Threat Intelligence Group di Google, Mandiant e i partner del settore hanno coordinato un’ampia operazione di smantellamento. Hanno terminato tutti i progetti Google Cloud controllati dagli attaccanti, disabilitato gli account malevoli e revocato l’accesso alle API abusate. I domini e l’infrastruttura legati a UNC2814 sono stati “sinkholati” - neutralizzando operazioni attuali e storiche. Le organizzazioni colpite hanno ricevuto avvisi e supporto diretti, mentre sono state rilasciate firme di rilevamento per aiutare i difensori a caccia di minacce residue.

Eppure la storia non è finita. Gli esperti avvertono che la portata globale e la sofisticazione tecnica di UNC2814 fanno sì che probabilmente riemergerà, adattando strumenti e metodi per campagne future. L’episodio è un monito netto: nell’era del cloud computing, gli attaccanti innovano con la stessa rapidità dei difensori.

Conclusione

L’interruzione di UNC2814 da parte di Google è un raro scorcio nel mondo ad alta posta in gioco del cyber-spionaggio, dove il cloud è al tempo stesso campo di battaglia e arma. Mentre i difensori si affrettano a tappare le falle, il gioco del gatto e del topo continua - dimostrando che nel cyberspazio la prossima violazione potrebbe essere già in corso.

WIKICROOK

• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che gli ordina di eseguire azioni specifiche, talvolta per scopi malevoli.
• Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
• API (Application Programming Interface): Un’API è un insieme di regole che consente a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono obiettivi comuni in ambito cybersecurity.
• Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
• Sinkholing: Il sinkholing reindirizza il traffico malevolo verso server controllati dai difensori, interrompendo i cyberattacchi e consentendo ai team di sicurezza di monitorare e analizzare le minacce in modo sicuro.