Reuters повідомляє, що компанія Google оголосила про успішне завершення операції з дезорганізації діяльності китайського хакерського угруповання, яке зламало щонайменше 53 організації у 42 країнах світу.



Хакери, відомі під назвами UNC2814 та Gallium, протягом майже десятиліття проникали в мережі урядових структур та телекомунікаційних компаній. Як повідомив головний аналітик Google Threat Intelligence Group Джон Халтквіст (John Hultquist), викрита мережа була частиною величезного апарату стеження, що використовувався для шпигунства за людьми та організаціями по всьому світу. Google разом із партнерами заблокувала проєкти Google Cloud, які контролювали хакери, вимкнула їхню інтернет-інфраструктуру та акаунти, що використовувалися для доступу до сервісу Google Sheets.



Особливістю цієї кампанії було використання Google Sheets для координації атак та викрадення даних. Це дозволяло хакерам залишатися непоміченими, оскільки їхня активність зливалася зі звичайним мережевим трафіком. При цьому в Google наголосили, що самі продукти компанії не були скомпрометовані — зловмисники просто використовували їх як інструменти. Старший менеджер Google Threat Intelligence Group Чарлі Снайдер (Charlie Snyder) підтвердив, що на момент втручання хакери мали доступ до організацій у 42 країнах і готували проникнення ще у 22 державах. В одному з випадків група встановила бекдор під назвою GRIDTIDE у систему, що містила конфіденційні дані: повні імена, номери телефонів, дати народження та національні ідентифікаційні номери.



Такі методи роботи, за даними Google, характерні для спроб ідентифікації та відстеження конкретних осіб. Аналогічні кампанії раніше використовувалися для викрадення записів про дзвінки, моніторингу SMS-повідомлень та стеження за цілями через системи законного перехоплення даних у телеком-провайдерів. Представник посольства Китаю Лю Пен’юй (Liu Pengyu) у відповідь на ці звинувачення заявив, що Пекін виступає проти хакерської діяльності та відкидає спроби використовувати питання кібербезпеки для наклепу на адресу Китаю.



Викриття групи UNC2814 демонструє нову стратегію технологічних гігантів, які беруть на себе роль активних захисників глобальної інфраструктури. Важливо зауважити, що ця активність відрізняється від іншої відомої кампанії Salt Typhoon, яка атакувала політичних діячів США. Використання звичайних офісних АІ інструментів та хмарних сервісів для маскування шпигунства змушує компанії переглядати підходи до моніторингу внутрішнього трафіку.



Для сектору телекомунікацій такі інциденти є сигналом про необхідність посилення захисту систем доступу до даних. АІ стає ключовим елементом як у руках хакерів для автоматизації атак, так і в руках захисників для виявлення аномалій у мільйонах операцій Google Sheets.

