- O Google desarticulou o grupo hacker chinês UNC2814 (Gallium), ativo há quase dez anos, responsável por ataques a governos e empresas em ao menos quarenta e dois países, conforme divulgação na última quarta-feira, 25.
- No Brasil, o grupo conseguiu acessar dados de operadoras de telecomunicações, incluindo nome completo, número de telefone, data e local de nascimento, além de documentos de identidade e título de eleitor.
- Nem todos os ataques resultaram em roubo de dados, mas houve utilização para monitorar registros de chamadas e mensagens SMS em sistemas de operadoras.
- A estratégia envolvia usar planilhas online como canal de comunicação com uma infraestrutura de comando e controle, por meio do projeto Gridtide, com tráfego disfarçado pela função legítima das Planilhas Google (Google Sheets).
- O Google encerrou os projetos do grupo e desativou as contas associadas; a análise estima que, além dos alvos confirmados, houve invasões em outros vinte países. A China afirmou que a cibersegurança deve ser tratada por meio de diálogo e cooperação.
O Google encerrou as ações de um grupo hacker chinês que utilizava planilhas online para roubar dados de operadoras de telefonia no Brasil. A desarticulação foi anunciada na última quarta-feira, 25, após quase uma década de atuação do grupo UNC2814, também conhecido como Gallium. A investigação envolveu o GTIG, a Mandiant e parceiros.
Segundo o Google, o grupo teve acesso a dados sensíveis de operadoras brasileiras, embora não tenha sido informado quais operadoras foram atingidas. Os registros expostos incluíam nome completo, número de telefone, data e local de nascimento, além de números de identidade e título de eleitor. Em alguns casos, também houve monitoramento de chamadas e de mensagens SMS.
Alcance e impactos
A análise indica que o UNC2814 invadiu sistemas em pelo menos 42 países, com monitoramento contínuo desde 2017. A atuação no Brasil ocorreu por meio de falhas já conhecidas na ligação entre redes internas e a internet, seguidas da inserção de arquivos maliciosos para obter controle total das máquinas.
Métodos e funcionamento
Um componente conhecido como Gridtide conectava dispositivos à plataforma Google Planilhas, que servia como canal de comunicação para ordens dos invasores. O tráfego era disfarçado como tráfego legítimo de usuários, mesclando atividades com a rede de operações.
O Google destacou que não houve falha de segurança nos seus produtos; a exploração ocorreu pela utilização indevida de recursos da API do Google Sheets para a comunicação com o servidor de comando e controle. Em função disso, as contas usadas pelo grupo foram desativadas.
Reação e posicionamento
O Google ressaltou que a desativação não representa falha de segurança dos seus serviços, apenas abuso de funcionalidades existentes. A missão foi encerrada com a retirada de acessos aos arquivos usados pelo grupo. A Embaixada da China nos EUA afirmou que a segurança cibernética é tema global e requer cooperação.
Entre na conversa da comunidade