- O Google desarticulou o grupo chinês UNC2814, também conhecido como Gallium, após quase dez anos de atividades.
- O grupo teve acesso a dados sensíveis de operadoras de telecomunicações no Brasil, como nome completo, número de telefone, data de nascimento, local de nascimento, números de identidade e título de eleitor; nem todos os ataques resultaram em roubo, mas houve monitoramento de chamadas e mensagens SMS.
- A investigação aponta que o UNC2814 atuava em ao menos quarenta e dois países, incluindo o Brasil, com invasões em sistemas de governos e empresas.
- O modo de ataque envolvia falhas entre rede interna e a internet; os invasores inseriam arquivos maliciosos para obter controle total dos dispositivos e se comunicar com uma central de comando, usando a Google Planilhas como canal de comando por meio de códigos.
- A Google explicou que não houve falha nos seus produtos e que o grupo usou a API do Google Sheets para disfarçar tráfego, levando a empresa a encerrar os projetos do grupo e desativar as contas; a embaixada da China ressaltou a necessidade de cooperação internacional em cibersegurança.
O Google revelou o desmonte de um grupo hacker chinês que atuava há quase uma década, envolvendo ataques por meio de planilhas online. O grupo UNC2814, também conhecido como Gallium, teve atividades em dezenas de países, incluindo o Brasil, segundo a empresa.
A operação envolveu invasões a serviços de governança e empresas, com acesso a dados sensíveis de operadoras de telecomunicações. No Brasil, o grupo teria obtido informações como nomes, números de telefone, datas de nascimento, documentos de identidade e título de eleitor. Nem todos os ataques resultaram em furto, mas houve monitoramento de chamadas e mensagens SMS em alguns casos.
A investigação do Google indica que o acesso ocorreu por falhas entre redes internas e a internet, seguido de inserção de arquivos maliciosos que permitiam controle remoto das máquinas. Um componente chamado Gridtide facilitava a comunicação entre as vítimas e planilhas do Google.
Como operava o ciclo do ataque
As planilhas funcionavam como canal de comando e controle, com ordens codificadas enviadas por meio de as planilhas. O Google esclarece que a vulnerabilidade não está nos produtos, mas no uso abusivo de funcionalidades paralelas da API do Google Sheets para ocultar o tráfego malicioso.
O que houve depois
Para interromper a atividade, o Google encerrou os projetos do grupo e desativou as contas com acesso aos arquivos. A empresa também afirma que nenhum serviço do Google foi comprometido, e que o objetivo foi impedir novas invasões.
Perspectiva internacional
O grupo já operava desde 2017 e, segundo o Google, pode ter invadido sistemas em mais 20 países além dos confirmados. O embaixador chinês nos EUA disse que a cibersegurança exige cooperação internacional e condenou tentativas de difamar a China, mantendo posição de rejeitar hackers conforme a lei.
Entre na conversa da comunidade