Google verstoort Chinees-gelieerde hackers die wereldwijd 53 groepen aanvielen

In dit artikel:

Google zei op 25 februari dat zijn Threat Intelligence Group een door China gelinkte hackergroep, bekend als UNC2814 of "Gallium", heeft ontmanteld. Volgens het bedrijf bestond de groep bijna tien jaar en hield zij zich bezig met grootschalige spionage tegen minstens 53 organisaties in 42 landen, met aanwijzingen voor mogelijke toegang in nog eens ~22 landen.

De aanvallers gebruikten een mix van eigen internetinfrastructuur en gecompromitteerde cloudaccounts. Google en samenwerkende partijen beëindigden gecontroleerde Google Cloud-projecten, schakelden gebruikte infrastructuur uit en sloten accounts die de groep gebruikte om toegang te krijgen tot en gegevens te halen uit Google Sheets. Dat laatste werd volgens Google ingezet om detectie te ontwijken en normaal netwerkverkeer na te bootsen; het hield geen kwetsbaarheid van Google-producten zelf in.

Google meldt dat de campagne gericht was op doelgerichte surveillance: het exfiltreren van belgegevens, het monitoren van sms-berichten en zelfs het volgen van individuen via legale interceptiemogelijkheden van telecomproviders. In een geval installeerde de groep een achterdeur (door Google "GRIDTIDE" genoemd) op een systeem met uitgebreide persoonlijke gegevens zoals volledige namen, geboortedata en nationale ID-nummers.

De Chinese ambassade reageerde dat cyberveiligheid een gemeenschappelijke uitdaging is en verwierp pogingen om China te belasteren. Google benadrukte dat deze operatie losstaat van de eerder beschreven "Salt Typhoon"-campagne die eveneens telecomdoelen trof.