Ferreira Manuel 
225
Angola figura entre os países visados numa campanha global de ciberespionagem que afectou 53 vítimas confirmadas em 42 países distribuídos por quatro continentes. A operação foi desmantelada na última semana pelo Google Threat Intelligence Group (GTIG), unidade de cibersegurança da Google, anunciou a empresa nesta quarta-feira (25).
De acordo com o mapa divulgado pela Google Cloud Security, Angola surge entre os países com “vítimas suspeitas ou confirmadas”, ao lado de vários Estados africanos das regiões Austral, Central, Oriental e Ocidental, bem como países da Ásia, Europa e Américas.
Em vermelho, países com vítimas suspeitas ou confirmadas do UNC2814 – Créditos: Google
O responsável, segundo a empresa, é o UNC2814, um grupo suspeito de ciberespionagem com alegadas ligações à China que o GTIG monitora desde 2017. A organização tem histórico de exploração e violação de servidores web e sistemas de borda, frequentemente utilizados como ponto de entrada em infra-estruturas críticas.
A Google sublinha que o UNC2814 não deve ser confundido com o agente de ameaça persistente avançada “Salt Typhoon”, trata-se de uma operação diferente, com alvos diferentes, apresentando recursos, tácticas, técnicas e procedimentos próprios.
Malware explorava Google Sheets como canal encoberto
O grupo utilizou nesta operação um novo vírus designado GRIDTIDE, que explorava funcionalidades legítimas da API do Google Sheets como canal de comando e controlo (C2). Segundo o Google, em vez de explorar falhas, os atacantes abusavam de serviços na nuvem para disfarçar o tráfego malicioso como actividade legítima.
Ciclo de vida da infecção por GRIDTIDE – Créditos: Google
A actividade suspeita foi detectada num servidor CentOS, durante a qual os analistas identificaram um binário malicioso alojado em /var/tmp e que iniciava um shell com privilégios de administrador (root), confirmando uma escalada de privilégios. Acredita-se que que o nome da carga, “xapt”, terá sido escolhido para se confundir com ferramentas legítimas usadas em sistemas Linux.
Após o acesso inicial, cuja origem não foi determinada, os atacantes movimentaram-se lateralmente através de SSH, explorando binários nativos do sistema (“living-off-the-land”) para evitar detecção. O malware foi instalado como serviço persistente no sistema operativo e executado com recurso ao comando nohup, garantindo a sua continuidade mesmo após o encerramento da sessão.
Comunicação encoberta e risco de exfiltração
De acordo com a Google, o GRIDTIDE utilizava uma conta de serviço para autenticação na API do Google Sheets, onde a folha de cálculo funcionava como canal de comunicação encoberto. A célula A1 era utilizada para recepção de comandos; o intervalo A2-An para transferência de dados; e a célula V1 armazenava informação detalhada do sistema da vítima, incluindo nome de utilizador, sistema operativo, endereço IP local e outras variáveis ambientais.
Ciclo de vida de execução do GRIDTIDE – Créditos: Google
O malware permitia executar comandos remotos, enviar e receber ficheiros e exfiltrar dados em fragmentos codificados. De acordo com o relatório, pelo menos um dos sistemas comprometidos continha dados pessoais sensíveis, incluindo nome completo, número de telefone, data de nascimento e números de identificação civil e eleitoral.
Embora o GTIG afirme não ter observado directamente a exfiltração de dados nesta campanha específica, a unidade de segurança recorda que violações anteriores atribuídas a grupos semelhantes resultaram no roubo de registos de chamadas, mensagens SMS não cifradas e abuso de sistemas de intercepção legal em operadoras de telecomunicações.
Para neutralizar a ameaça, a Google encerrou todos os projectos em nuvem controlados pelo grupo, desactivou contas associadas, bloqueou domínios utilizados pela infra-estrutura maliciosa e revogou o acesso às APIs do Google Sheets. Foram ainda divulgados indicadores de comprometimento (IOCs) para apoiar organizações na detecção de actividade associada ao UNC2814.
De acordo com a empresa, o alcance global da actividade do UNC2814, evidenciado por operações confirmadas ou suspeitas em mais de 70 países, ressalta a séria ameaça que os sectores de telecomunicações e governamentais enfrentam, bem como a capacidade dessas intrusões escaparem da detecção pelas autoridades de segurança.
