Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Google ја наруши кампањата UNC2814 GRIDTIDE по 53 пробивања во 42 држави

Објавено: 26.02.2026

Google во средата соопшти дека соработувал со индустриски партнери за да ја наруши инфраструктурата на сомнителна сајбер-шпионска група поврзана со Кина, следена како UNC2814, која пробила најмалку 53 организации во 42 држави.

„Овој продуктивен и тешко уловлив актер има долга историја на таргетирање меѓународни влади и глобални телекомуникациски организации низ Африка, Азија и Америка“, наведуваат Google Threat Intelligence Group (GTIG) и Mandiant во извештај објавен денес.

Се сомнева дека UNC2814 е поврзана и со дополнителни инфекции во повеќе од 20 други држави. Технолошкиот гигант, кој ја следи групата од 2017 година, забележал дека таа користи API повици за комуникација со софтвер како услуга (SaaS) апликации како командно-контролна (C2) инфраструктура. Целта, како што се наведува, е злонамерниот сообраќај да изгледа како легитимен.

Централно место во операциите на групата има нов backdoor наречен GRIDTIDE, кој ја злоупотребува Google Sheets API како комуникациски канал за прикривање на C2 сообраќајот и овозможување пренос на сурови податоци и shell команди. Станува збор за малициозен софтвер напишан во C, кој поддржува прикачување/преземање датотеки и извршување произволни shell команди.

Ден Перез, истражувач во GTIG, изјавил за The Hacker News преку е-пошта дека не можат да потврдат дали сите упади ја вклучувале употребата на GRIDTIDE backdoor. „Веруваме дека многу од овие организации се компромитирани со години“, додал Перез.

Точниот начин на кој UNC2814 добива почетен пристап сè уште е предмет на истрага, но се наведува дека групата има историја на експлоатација и компромитирање веб-сервери и edge системи. Нападите користеле service account за латерално движење низ околината преку SSH. Исто така биле користени living-off-the-land (LotL) алатки за извидување, ескалација на привилегии и воспоставување перзистентност на backdoor-от.

„За да обезбеди перзистентност, актерот креирал сервис за малициозниот софтвер на /etc/systemd/system/xapt.service, а по негово активирање, нова инстанца од малициозниот софтвер се стартувала од /usr/sbin/xapt“, објасни Google.

Друг значаен аспект е употребата на SoftEther VPN Bridge за воспоставување излезна енкриптирана врска кон надворешна IP адреса. Вреди да се напомене дека злоупотребата на SoftEther VPN претходно била поврзана со повеќе кинески хакерски групи.

Постојат докази дека GRIDTIDE се инсталира на уреди што содржат лично препознатливи информации (PII), што е во согласност со сајбер-шпионска активност насочена кон следење лица од интерес. Сепак, Google наведе дека не забележал ексфилтрација на податоци во текот на кампањата.

Животен циклус на извршување на GRIDTIDE

Механизмот за C2 на GRIDTIDE вклучува механизам на „polling“ базиран на ќелии, каде што на одредени ќелии во табелата им се доделуваат специфични улоги за да се овозможи двонасочна комуникација:

  • A1 – за проверка (poll) на команди од напаѓачот и препишување со статусен одговор (на пр. S-C-R или Server-Command-Success)
  • A2–An – за пренос на податоци, како излез од команди и датотеки
  • V1 – за складирање системски податоци од компромитираниот уред

Како дел од активностите за спречување, Google соопшти дека ги укинал сите Google Cloud проекти контролирани од напаѓачот, ја оневозможил целата позната инфраструктура на UNC2814 и го прекинал пристапот до сметките под контрола на напаѓачот и до Google Sheets API повиците што биле користени за командно-контролни (C2) цели.

Технолошкиот гигант ја опиша UNC2814 како една од „најобемните и највлијателни кампањи“ забележани во последните години, додавајќи дека испратил официјални известувања до сите жртви и активно им помага на организациите кај кои е потврдена компромитација поврзана со оваа закана.

Најновото откритие е едно од повеќето паралелни напори од кинески државно-поддржани групи да се вградат во мрежи за долгорочен пристап. Развојот исто така покажува дека мрежниот „edge“ и понатаму е главна цел на масовни интернет-експлоатации, при што заканувачите често злоупотребуваат ранливости и погрешни конфигурации во вакви уреди како вообичаена влезна точка во корпоративните мрежи.

Овие уреди станаа атрактивни цели во последниве години бидејќи обично немаат endpoint детекција на малициозен софтвер, а сепак овозможуваат директен мрежен пристап или точки за понатамошно движење кон внатрешни сервиси доколку бидат компромитирани.

„Глобалниот опсег на активностите на UNC2814, потврден или сомнителен во повеќе од 70 држави, ја нагласува сериозната закана со која се соочуваат телекомуникациските и владините сектори, како и способноста овие упади да избегнат детекција од страна на одбранбените тимови“, соопшти Google.

„Продуктивни упади од ваков обем најчесто се резултат на години фокусиран напор и нема лесно повторно да се воспостават. Очекуваме дека UNC2814 ќе вложи значителни напори за повторно воспоставување на своето глобално присуство.“

Извори:

  • The Hacker News – Google Disrupts UNC2814 GRIDTIDE Campaign After 53 Breaches Across 42 Countries The Hacker News