Siga o Olhar Digital no Google Discover

O Google informou, nesta semana, que interrompeu uma campanha global de espionagem digital chamada GRIDTIDE, executada pelo grupo chinês UNC2814. O ataque atingiu empresas de telecomunicações e órgãos do governo em 42 países, incluindo o Brasil.

O grupo agia desde pelo menos 2017. Ele vigiava “pessoas de interesse” por meio do acesso a registros sigilosos. No Brasil, a invasão afetou mais de uma operadora e ocorreu de forma persistente a partir de 2018.

GRIDTIDE: Como os hackers espionavam e se escondiam, segundo o Google

Confira abaixo os destaques sobre o que o Google descobriu, conforme detalhado pela empresa:

Quem estava por trás e quem eram os alvos?

A operação era conduzida por um grupo rastreado como UNC2814, que possui ligações com a China e atua desde pelo menos 2017. O foco principal do grupo eram operadoras de telecomunicações e organizações governamentais em mais de 70 países, espalhados por quatro continentes. No Brasil, a espionagem atingiu empresas do setor e estava ativa desde 2018.

Como o ataque funciona? (O ‘disfarce’ digital)

Diferente de muitos ataques que exploram falhas de segurança (“bugs”), este grupo utilizou uma tática de abuso de ferramentas legítimas.

• O uso do Google Sheets: Os invasores utilizaram a API do Google Sheets (as planilhas do Google) como um canal de comando e controle (C2);
• Por que isso é eficaz? Ao usar planilhas reais para enviar comandos ao malware, o tráfego de rede parece ser um uso comum de serviços em nuvem, o que ajuda a evitar detecção por sistemas de segurança tradicionais.

O Malware GRIDTIDE

O grupo instalou um vírus sofisticado chamado GRIDTIDE nos sistemas das vítimas. Entre suas principais funções, estão:

• Persistência: Ele é configurado para continuar rodando no sistema mesmo se a sessão for encerrada;
• Controle remoto: Permite que os invasores executem comandos, enviem e baixem arquivos dos servidores comprometidos;
• Coleta de dados: O malware faz um “reconhecimento” do computador infectado, coletando dados como nome de usuário, endereço IP e detalhes do sistema operacional.

Qual era o objetivo da espionagem?

O objetivo central era vigilância e coleta de inteligência.

• Dados pessoais: Foram encontrados indícios de acesso a informações sensíveis, como nomes completos, números de telefone, CPFs, datas de nascimento e até títulos de eleitor;
• Monitoramento de pessoas: Em empresas de telefonia, esse acesso permite rastrear “pessoas de interesse” (como políticos, jornalistas e executivos), monitorar mensagens SMS e registros de chamadas.

O que foi feito para interromper o grupo?

O Google, por meio de seu grupo de inteligência (GTIG) e da Mandiant, tomou medidas para desmantelar a operação. Entre elas, estavam:

• Derrubada de infraestrutura: Desativaram os projetos no Google Cloud e as contas controladas pelos invasores;
• Bloqueio de acesso: Revogaram o acesso às APIs do Google Sheets que o grupo usava para se comunicar com o malware;
• Alertas e transparência: Notificaram as vítimas confirmadas e publicaram Indicadores de Comprometimento (IOCs), que são “assinaturas” digitais que ajudam outras empresas a verificar se também foram invadidas.