Крупная кибершпионская кампания, приписываемая китайской группировке UNC2814, была нейтрализована совместными усилиями Google Threat Intelligence Group, Mandiant и их партнёров. Атакующие использовали необычный подход: управление вредоносным ПО велось через Google Sheets API, что позволяло скрывать трафик среди легитимных запросов к облачным сервисам.
UNC2814: масштабная кибершпионская операция против телекомов и госструктур
По данным Google, группировка UNC2814 с 2023 года вела целенаправленную кибершпионскую кампанию против телекоммуникационных компаний и государственных организаций в Африке, Азии, Северной и Южной Америке. Подтверждено компрометирование как минимум 53 организаций в 42 странах, а ещё более чем в 20 странах зафиксированы признаки возможного заражения.
Выбор телеком-операторов и госучреждений в качестве целей типичен для кибершпионажа государственного уровня: доступ к сетевой инфраструктуре и критическим системам даёт атакующим возможность перехватывать трафик, отслеживать коммуникации и получать конфиденциальные данные, включая персональную информацию и служебную переписку.
GRIDTIDE: бэкдор на C с управлением через Google Sheets
Как работает вредоносная программа GRIDTIDE
Ключевым инструментом UNC2814 стал бэкдор GRIDTIDE, написанный на языке C. Его особенность — использование Google Sheets как полноценного сервера управления и контроля (C2). Для аутентификации малварь применяла Google Service Account с жёстко закодированным закрытым ключом, после чего «обычная» таблица превращалась в центр управления атакой.
При запуске GRIDTIDE очищал содержимое выбранной таблицы, собирал данные о заражённом хосте (системная информация, конфигурация, окружение) и записывал их в ячейку V1. Ячейка A1 использовалась как «командный центр» — бэкдор регулярно опрашивал её в поисках инструкций от операторов. Весь обмен данными кодировался в Base64, что делало сетевой трафик визуально похожим на рядовые обращения к сервисам Google.
GRIDTIDE поддерживал выполнение произвольных bash-команд, загрузку файлов на скомпрометированный хост и эксфильтрацию данных. Результаты выполнения команд и извлечённые файлы размещались в диапазоне ячеек A2–An, что позволяло операторам управлять атакой, фактически работая с обычной электронной таблицей.
Механизм опроса команд и скрытность канала C2
Если в ячейке A1 появлялась команда, вредоносная программа выполняла её и перезаписывала содержимое ячейки строкой состояния, снижая вероятность обнаружения активности при поверхностном просмотре таблицы. При отсутствии команд GRIDTIDE делал до 120 попыток опроса с интервалом в одну секунду, а затем переходил на более редкие случайные проверки с интервалом в 5–10 минут, имитируя фоновые обращения к облаку.
Использование популярного облачного сервиса как C2 — тренд последних лет. Такой подход усложняет работу систем мониторинга и блокировки, поскольку трафик к Google, Microsoft и другим крупным провайдерам обычно разрешён и считается доверенным. Для эффективного обнаружения подобных атак уже недостаточно простых сигнатур; требуется поведенческий анализ и корреляция событий на уровне хостов и сети.
Тактика UNC2814: living-off-the-land и SoftEther VPN Bridge
Помимо GRIDTIDE, злоумышленники активно применяли технику living-off-the-land — использование уже имеющихся в системе легитимных инструментов (например, стандартных утилит Linux) для достижения своих целей. Это снижает следы на диске и затрудняет детектирование, поскольку многие действия выглядят как нормальная административная активность.
Перемещение внутри корпоративных сетей осуществлялось преимущественно по SSH, а для закрепления в системе вредонос регистрировался как системный сервис. В ряде случаев атакующие разворачивали SoftEther VPN Bridge — VPN-решение с открытым исходным кодом, которое ранее уже связывали с другими китайскими кибергруппировками. Такой VPN-мост позволяет создавать устойчивые скрытые каналы в инфраструктуру жертвы, обходя традиционные средства периметральной защиты.
Отмечено, что как минимум в одном инциденте GRIDTIDE был обнаружен на машине, содержащей персональные данные. При этом прямых подтверждений успешной кражи этих данных получено не было, однако сам факт присутствия бэкдора на подобных системах серьёзно повышает риски для конфиденциальности и соответствия требованиям регуляторов.
Ответ Google и уроки для защиты корпоративных сетей
Для остановки кампании специалисты Google отключили все облачные проекты UNC2814, отозвали доступ к Google Sheets API, а связанные домены перевели в режим sinkhole — перенаправили трафик на контролируемые серверами аналитиков адреса, что позволяет отслеживать остаточную активность и предотвращать дальнейшее управление заражёнными машинами. Все пострадавшие организации были уведомлены и получили предложения о помощи в реагировании.
По оценке Google, деятельность UNC2814 стала одной из самых масштабных и результативных кибершпионских кампаний последних лет. При этом компания ожидает, что группировка попытается восстановить инфраструктуру, возможно, перейдя на другие облачные платформы или изменив протокол взаимодействия с C2. Это подчёркивает необходимость постоянно обновлять модели угроз и сценарии обнаружения.
Организациям, особенно в сегментах телекоммуникаций и государственного управления, стоит пересмотреть политику доступа к облачным сервисам, внедрить глубокий мониторинг исходящего трафика, контроль использования сервисных аккаунтов и аномалий при работе с API. Важны регулярные проверки на наличие нетипичных системных сервисов, анализ SSH-активности и выявление нелегитимных VPN-туннелей. Инвестиции в учёт современных тактик вроде использования Google Sheets в роли C2 становятся ключевым шагом к снижению рисков кибершпионажа и защите критически важных данных.
