Google desmantela campaña de ciberespionaje atribuida a China y que afectó a Chile
Se encienden las alarmas.
De acuerdo con el reciente reporte técnico publicado en el Google Cloud Blog, una llamativa campaña de ciberespionaje fue orquestada por el grupo de amenazas UNC2814, una entidad con presuntos nexos estatales en China que ha estado activa desde al menos 2017.
El núcleo de esta operación es GRIDTIDE, un sofisticado backdoor (puerta trasera) programado en C y que tiene como particularidad el método de comunicación que hace a este malware tan peligroso y que en lugar de utilizar servidores o dominios maliciosos tradicionales para su Comando y Control (C2), los atacantes utilizaron Google Sheets.
A través de la API de Google, los hackers usaban hojas de cálculo en la nube para enviar instrucciones, recibir datos extraídos y ejecutar comandos en los sistemas infectados. Al camuflar el tráfico malicioso dentro de las comunicaciones legítimas de un servicio de uso corporativo diario, los atacantes lograron operar bajo el radar de las herramientas de seguridad perimetral de las empresas afectadas.
Las investigaciones de Google Threat Intelligence Group y Mandiant revelaron que la campaña GRIDTIDE alcanzó un nivel de penetración global significativo. Se confirmaron al menos 53 intrusiones exitosas en 42 países de Asia, Europa, África y América, con sospechas de actividad en otras 20 naciones, teniendo como objetivos principales proveedores de telecomunicaciones y organizaciones gubernamentales.
Y según el mapa publicado por Google, Chile fue uno de los países afectados por este ataque, pudiendo ser un blanco apetecido debido a que nuestro país cuenta con una de las infraestructuras de telecomunicaciones más desarrolladas de Latinoamérica —liderando en despliegue de redes 5G y penetración de fibra óptica— además de un Estado con un alto nivel de digitalización, características que convierten a las redes locales en activos estratégicos de alto valor para grupos de ciberespionaje internacional.
Esta amenaza ya fue neutralizada mediante una acción de mitigación a gran escala que incluyó la desmantelación de los proyectos de nube controlados por los atacantes, la inhabilitación de la infraestructura conocida de UNC2814 y el bloqueo del acceso a los documentos de Google Sheets que estaban siendo utilizados como centros de comando.