Google a démantelé l'infrastructure d'un groupe de cyberespionnage lié à la Chine, UNC2814. Ce dernier a compromis 53 organisations dans 42 pays via un logiciel malveillant exploitant Google Sheets pour piloter les machines infectées à distance.
Le Google Threat Intelligence Group (GTIG) et le cabinet Mandiant ont rendu publics mercredi les détails d'une opération coordonnée contre UNC2814. le groupe est sous étroite surveillance depuis 2017 et soupçonné d'agir pour le compte de la République populaire de Chine. Les hackers ciblent principalement des opérateurs télécoms et des administrations gouvernementales en Afrique, en Asie et sur le continent américain.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
GRIDTIDE : quand Google Sheets devient un canal d'espionnage
Au cœur du dispositif on trouve GRIDTIDE, un backdoor - autrement dit une porte dérobée - développé en langage C. Ce programme est capable d'exécuter des commandes à distance et de transférer des fichiers depuis ou vers les machines infectées.
GRIDTIDE ne passe pas par un serveur de contrôle classique pour recevoir ses instructions. Il interroge directement un fichier tableur hébergé sur Google Sheets via l'API officielle du service. Oui, il s'agit bien de la même interface utilisée par n'importe quelle application légitime. Le trafic malveillant se fond dans les échanges ordinaires avec les serveurs Google, ce qui le rend donc difficile à détecter par les outils de surveillance réseau habituels.
La cellule A1 du tableur recevait les commandes des attaquants, tandis que la cellule V1 stockait les métadonnées de la machine infectée. On y retrouvait nom d'utilisateur, le système d'exploitation, l'adresse IP. Les données sont encodées en base64 URL-safe, un format illisible sans décodage préalable.
GRIDTIDE a été retrouvé sur des systèmes hébergeant des données très sensibles - noms complets, numéros de téléphone, dates de naissance, numéros d'identité nationale et d'électeur. C'est e qui a mis la puce à l'oreille des experts. Il s'agit là de données qu'un opérateur télécom ou une administration conserve sur ses utilisateurs ou ses citoyens. Elles permettent d'identifier et de suivre des individus précis, ce qui oriente clairement la campagne vers l'espionnage ciblé de personnes plutôt que vers le simple vol de données financières. GRIDTIDE aurait donc permis de surveiller des individus bien spécifiques, comme des dissidents, activistes ou cibles d'espionnage traditionnel.
Google reprend le contrôle
Pour s'introduire dans les systèmes, UNC2814 exploitait des failles au sein des serveurs web et des équipements réseau exposés sur internet. Une fois en place, ses opérateurs utilisaient des outils déjà présents sur les machines pour monter en leurs privilèges et ancrer GRIDTIDE comme service permanent via systemd, un mécanisme de gestion des processus propre à Linux. Le groupe déployait également SoftEther VPN Bridge pour chiffrer ses connexions sortantes, un outil déjà associé à plusieurs autres groupes d'espionnage liés à la Chine.
La réponse de Google a été coordonnée : résiliation de tous les projets Google Cloud contrôlés par les attaquants, désactivation des accès à l'API Google Sheets utilisés pour le commandement, et mise hors service des domaines associés à leur infrastructure. Les 53 organisations touchées ont été notifiées et bénéficient d'un accompagnement. Google précise qu'UNC2814 ne présente aucun lien avec "Salt Typhoon", l'autre groupe d'espionnage chinois visant les télécoms, les deux entités ciblant des victimes distinctes avec des méthodes différentes. Au total, les opérations du groupe couvrent plus de 70 pays en comptant les infections soupçonnées, et Google anticipe qu'il cherchera à reconstruire son infrastructure.
