Prošloga tjedna Google Threat Intelligence Group (GTIG), Mandiant (Američka tvrtka za kibernetičku sigurnost i podružnica Googlea), kao i drugi partneri ovog internetskog giganta poduzeli su mjere za ometanje globalne špijunske kampanje usmjerene na telekomunikacije i vladine organizacije u desecima zemalja na četiri kontinenta.
Bosna i Hercegovina također se našla u skupini zemalja sa sumnjom ili potvrđenim žrtvama opasne hakerske skupine povezane s Kinom.
Google je s industrijskim partnerima razotkrio hakersku skupinu koja je koristila njihove aplikaciju Spreadsheets za napade na vlade i telekom operatore diljem svijeta. U akciji koju je vodio već spomenuti Google Threat Intelligence Group ukinuti su svi projekti na servisu Google Cloud pod kontrolom skupine UNC2814, koju su u Googleu pratili još od 2017. godine. Ova hakerska skupina opisuje se kao neuhvatljiva, s dugom poviješću ciljanja međunarodnih vlada i globalnih telekomunikacijskih organizacija diljem Afrike, Azije i Amerike.
Razgranata mreža
Također su djelatnici GTIG-a onemogućili svu poznatu infrastrukturu i korisničke račune te skupine te su i opozvali pristup pozivima Google Sheets API-ja koje su kineski špijuni koristili za potrebe zapovijedanja i kontrole. Njihova mreža prostirala se na 42 države i četiri kontinenta.
Otkrivene su čak 53 žrtve u najmanje 20 država. Na udaru su bili pojedinci i organizacije, posebno disidenti i aktivisti, kao i tradicionalne mete špijunaže. Sve žrtve su obaviještene o otkriću.
Zasad još uvijek nisu otkrivena nikakva preklapanja sa Salt Typhoonom, skupinom koju se povezuje s Kinom, a koja je hakirala glavne američke telekomunikacijske tvrtke i krala podatke još 2019. godine. Nije poznato ni kako je UNC2814 dobio inicijalni pristup okruženjima žrtava za ovu konkretnu kampanju. Obično se to čini iskorištavanjem i kompromitiranjem mrežnih poslužitelja i rubnih sustava.
Kampanja je otkrivena tijekom Mandiantove istrage o sumnjivim aktivnostima u okruženju korisnika. Napadači su koristili binarnu datoteku /var/tmp/xapt i alat Gridtide, koji zloupotrebljava legitimnu funkcionalnost Google Sheets API-ja kako bi se prikrio.
Osim što su obavili uklanjanje zlonamjernog softvera, Google i partnerske tvrtke identificirali su i onemogućili poznatu infrastrukturu povezanu s UNC2814 te su, kako se navodi, obavijestili pogođene organizacije i pružili im podršku u saniranju posljedica napada.
Stručnjaci o napadu
Glavna je pretpostavka kako je cilj ove ilegalne kampanje bio prikupljanje podataka o pojedincima i njihovoj komunikaciji. Osim BiH, u bližem okruženju kao mete su označene još Srbija, Crna Gora i Kosovo.
Nedim Gvožđar, jedan od osnivača udruge e-Transformacija, koja se bavi kibernetičkom sigurnošću u BiH, objasnio je za medije kako je riječ o klasičnoj "državnoj kibernetičkoj špijunaži" koja ima za cilj prikupljanje strateških informacija. - Napadači nisu "razbijali bravu" iskorištavanjem tehničke pogreške, već su koristili legitimne servise kao prikriveni kanal - što je tipičan obrazac suvremenih APT operacija (Advanced Persistent Threat), odnosno napredna i dugotrajna prijetnja. To nije običan hakerski napad. To je sustavna, dugoročna operacija koju obično provodi država ili akteri povezani s državom te visoko organizirane skupine s velikim resursima - objasnio je Gvožđar.
Ciljevi ove kampanje, ocijenio je, bili su obavještajni. - Fokus je bio na telekom operatorima, državnim institucijama i sustavima koji obrađuju velike količine osobnih i komunikacijskih podataka. Takav pristup omogućava nadzor komunikacija, identifikaciju osoba od interesa i dugoročno praćenje meta - rekao je Gvožđar.
Dodao je i da, iako je Google s partnerima prekinuo kampanju, iskustva pokazuju da ovakve skupine gotovo uvijek pokušavaju ponovno uspostaviti pristup koristeći nove metode i infrastrukturu.
I ovo je još jedan od događaja koji svjedoče koliko je krhka internetska sigurnost i pojedinaca, ali i velikih korporacija i kako nitko više nije siguran u moru bitova, gdje jedino sigurno plove bez straha razne hakerske skupine, nerijetko financirane i podržavane od vlada raznih zemalja, a štete njihova djelovanja mogu biti iznimno nesagledive i teško popravljive u svakom slučaju.