Google maakte woensdag bekend dat het samenwerkt met partners uit de industrie om de infrastructuur te ontwrichten van een vermoedelijke cyberspionagegroep uit China, die wordt gevolgd als UNC2814 die ten minste 53 organisaties in 42 landen hebben overtreden.
“Deze productieve, ongrijpbare actor heeft een lange geschiedenis van het aanvallen van internationale overheden en mondiale telecommunicatieorganisaties in Afrika, Azië en Amerika”, aldus Google Threat Intelligence Group (GTIG) en Mandiant in een vandaag gepubliceerd rapport.
Er wordt ook vermoed dat UNC2814 verband houdt met extra infecties in meer dan twintig andere landen. Er is waargenomen dat de technologiegigant, die de bedreigingsacteur sinds 2017 volgt, API-oproepen gebruikt om te communiceren met Software-as-a-Service (SaaS)-apps als command-and-control (C2)-infrastructuur. Het idee, zo voegde het eraan toe, is om hun kwaadaardige verkeer als goedaardig te vermommen.
Centraal in de activiteiten van de hackgroep staat een nieuwe achterdeur genaamd GRIDTIDE die de Google Spreadsheets API misbruikt als communicatiekanaal om C2-verkeer te verhullen en de overdracht van onbewerkte gegevens en shell-opdrachten te vergemakkelijken. Het is een op C gebaseerde malware die het uploaden/downloaden van bestanden en de uitvoering van willekeurige shell-opdrachten ondersteunt.
Hoe UNC2814 precies de initiële toegang verkrijgt, blijft een onderwerp van onderzoek, maar de groep zou een geschiedenis hebben van het exploiteren en compromitteren van webservers en edge-systemen.
Aanvallen van de bedreigingsacteur hebben gebruik gemaakt van een serviceaccount om via SSH lateraal binnen de omgeving te bewegen. Ook worden de Living-off-the-land (LotL) binaire bestanden gebruikt om verkenningen uit te voeren, privileges te escaleren en persistentie voor de achterdeur op te zetten.
“Om persistentie te bereiken, heeft de bedreigingsacteur een service voor de malware gemaakt op /etc/systemd/system/xapt.service, en eenmaal ingeschakeld, werd een nieuw exemplaar van de malware voortgebracht vanuit /usr/sbin/xapt”, legt Google uit.
Een ander opmerkelijk aspect is de inzet van SoftEther VPN Bridge om een uitgaande gecodeerde verbinding met een extern IP-adres tot stand te brengen. Het is de moeite waard hier te vermelden dat het misbruik van SoftEther VPN in verband is gebracht met meerdere Chinese hackgroepen.
Er zijn aanwijzingen dat GRIDTIDE wordt verwijderd op eindpunten die persoonlijk identificeerbare informatie (PII) bevatten, een aspect dat consistent is met cyberspionageactiviteiten gericht op het monitoren van personen van belang. Google merkte echter op dat het tijdens de campagne geen gegevensexfiltratie heeft waargenomen.
Het C2-mechanisme van GRIDTIDE omvat een celgebaseerd pollingmechanisme, waarbij specifieke rollen worden toegewezen aan bepaalde spreadsheetcellen om bidirectionele communicatie mogelijk te maken –
- A1, om te peilen naar commando’s van aanvallers en deze te overschrijven met een statusreactie (bijv. SCR of Server-Command-Success)
- A2-An, om gegevens over te dragen, zoals opdrachtuitvoer en bestanden
- V1, om systeemgegevens van het slachtoffereindpunt op te slaan
Als onderdeel van de actie zei Google dat het alle door de aanvaller gecontroleerde Google Cloud-projecten heeft beëindigd, alle bekende UNC2814-infrastructuur heeft uitgeschakeld en de toegang heeft afgesloten tot door de aanvaller gecontroleerde accounts en Google Spreadsheets API-aanroepen die door de actor worden gebruikt voor command-and-control (C2) doeleinden.
De technologiegigant beschreef UNC2814 als een van de ‘meest verreikende en impactvolle campagnes’ van de afgelopen jaren, en voegde eraan toe dat het formele slachtoffermeldingen heeft gedaan aan elk van de doelwitten en dat het organisaties actief ondersteunt met geverifieerde compromissen als gevolg van deze dreiging.
De nieuwste ontdekking is een van de vele gelijktijdige pogingen van Chinese natiestaatgroepen om zichzelf in te bedden in netwerken voor toegang op de lange termijn. De ontwikkeling benadrukt ook dat de netwerkrand nog steeds het zwaarst te lijden heeft onder internetbrede exploitatiepogingen, waarbij bedreigingsactoren regelmatig kwetsbaarheden en verkeerde configuraties in dergelijke apparaten misbruiken als een gemeenschappelijk toegangspunt tot bedrijfsnetwerken.
Deze apparaten zijn de afgelopen jaren aantrekkelijke doelwitten geworden, omdat ze doorgaans geen malwaredetectie op het eindpunt hebben, maar toch directe netwerktoegang of draaipunten voor interne services bieden als ze worden gecompromitteerd.
“De mondiale reikwijdte van de activiteiten van UNC2814, zoals blijkt uit bevestigde of vermoedelijke operaties in meer dan zeventig landen, onderstreept de ernstige dreiging waarmee de telecommunicatie- en overheidssectoren worden geconfronteerd, en het vermogen van deze inbraken om detectie door verdedigers te omzeilen”, aldus Google.
“Vruchtbare indringers van deze omvang zijn over het algemeen het resultaat van jarenlange gerichte inspanningen en zullen niet gemakkelijk worden hersteld. We verwachten dat UNC2814 hard zal werken om zijn mondiale voetafdruk te herstellen.”
