Hackers chineses usam Google Planilhas para espionar o governo brasileiro

O Grupo de Inteligência de Ameaças da Google (GTIG) e a empresa de cibersegurança Mandiant se juntaram para mitigar uma campanha de espionagem global, atribuída a hackers chineses, que usou chamadas de API SaaS (software como serviço) no Google Planilhas.

• 8 funções que você não conhecia do Google Sheets
• White Hat vs. Black Hat: O que é um hacker ético?

Escondendo tráfego malicioso através do método, os atacantes miraram principalmente em telecomunicações e redes governamentais, inclusive no Brasil. A campanha, no entanto, está ativa desde ao menos 2023 e já atingiu 53 empresas em 42 países, com suspeitas de invasão em mais 20 outras nações. 

Como ocorre a invasão

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O vetor de acesso, segundo o GTIG, ainda é desconhecido, mas o atacante é identificado internamente como UNC2814, que já explorou falhas em servidores web e sistemas de borda (dispositivos de internet das coisas ou sensores cujos dados são processados próximos da fonte, e não em uma central).

Na campanha recente, foi usada uma nova backdoor baseada em C chamada GRIDTIDE, que abusa a API do Google Sheets entregar comandos de servidores maliciosos. Com uma chave privada hardcoded, o malware se autentica em uma conta Google e limpa uma planilha ao excluir as linhas 1 a 1000 e colunas de A a Z.

Após o procedimento, é feito um reconhecimento do sistema, coletando nome de usuário, de host, detalhes do sistema operacional, IP, localização e fuso horário, anotando os dados na célula V1. Já a célula A1 é usada para os comandos e status do ataque, e o GRIDTIDE recebe instruções por ela constantemente.

Os comandos usados pelo malware são de execução de bashes Base64, escrevendo os resultados na planilha, upload e download de arquivos. As células de A2 a AN são usadas para escrever os comandos, extrair arquivos e atualizar ferramentas. O esquema de codificação base64 é usado para evitar detecção por monitoramento web, se escondendo em meio ao tráfego comum.

Google, Mandiant e parceiros que agiram na mitigação da campanha fecharam todos os projetos controlados pelo UNC2814, desabilitando a infraestrutura do grupo e revogando acesso à API do Google Planilhas. Organizações impactadas pelo GRIDTIDE foram notificadas e receberam suporte para lidar com as infecções, e a Google listou regras de detecção e indicadores de comprometimento dos aparelhos afetados.

Leia mais:

• Skynet, é você? OpenClaw sai do controle e apaga e-mails de executiva da Meta
• Golpe perfeito: IA cria phishing tão real que engana até especialistas
• Hackers a jato: IA reduz tempo de ataque digital para apenas 4 minutos

Fonte: GTIG