概要
Googleとそのパートナーは、中国国家に関連するサイバー諜報キャンペーンを破壊し、53の通信会社や政府機関が被害を受けたことを確認しました。このキャンペーンは、少なくとも42カ国に及ぶ。
背景
Google Threat Intelligence Group (GTIG)とMandiantを含む業界パートナーと共に、中国政府関連のハッカー集団UNC2814(People’s Republic of China – PRC)が実施したサイバー諜報活動を阻止しました。このグループは、少なくとも2017年から活動しており、世界中の政府や通信事業者を標的としています。
GRIDTIDEバックドアの発見
Mandiantの調査では、新しいC言語ベースのバックドア「GRIDTIDE」が発見されました。このバックドアはGoogle Sheetsをコマンド&コントロール(C2)チャネルとして使用しています。
GRIDTIDEの特徴
- 任意のシェルコマンドを実行する能力
- ファイルのアップロードとダウンロード機能
- C2トラフィックを通常のクラウド活動の中に隠すため、検出が困難になる
攻撃手法
GRIDTIDEは、Google Drive上の設定データを暗号化する16バイトの鍵を使用して操作します。このバックドアは、特定のスプレッドシートセルからコマンドを受け取り、結果をスプレッドシートに書き込みます。
被害状況
調査によると、53の組織が既に攻撃を受けたことが確認され、さらに少なくとも20カ国で感染が疑われています。このキャンペーンは、個人情報や通信データへのアクセスを可能にするものでした。
対策
GTIGとパートナーは、UNC2814のクラウドおよびネットワークインフラストラクチャに対する一連の措置を実施しました。これには、攻撃者のGoogle Cloudプロジェクトの終了や、C2用に使用されたGoogle Sheets API呼び出しのアクセス権の取り消しが含まれます。
今後の対応
GTIGは、UNC2814が新しいツールとリソースを使用して新たなサイバー諜報インフラを再構築する可能性があると警告しています。そのため、組織はGRIDTIDEに関連する検出シグネチャを使用し、脅威からネットワークを保護することが重要です。