Google poinformował o zlikwidowaniu dużej operacji hakerskiej powiązanej z Chinami. Jak podaje Reuters, ataki objęły co najmniej 53 organizacje w 42 krajach. Za akcją stała grupa znana jako UNC2814, określana także jako „Gallium”. Działa od prawie 10 lat i specjalizuje się w atakach na urzędy państwowe oraz firmy telekomunikacyjne.
Hakerzy wykorzystywali nietypową metodę. Stworzyli złośliwe oprogramowanie o nazwie GRIDTIDE, które używało Arkuszy Google jako narzędzia do sterowania atakiem. W praktyce oznaczało to, że komunikacja między zainfekowanym komputerem a hakerami wyglądała jak zwykły, legalny ruch w chmurze. Dzięki temu trudniej było wykryć włamanie.
Google podkreślił, że jego systemy nie zostały złamane. Atak polegał na wykorzystaniu legalnych funkcji API Arkuszy Google do ukrycia komunikacji z przejętymi komputerami.
Charlie Snyder z Google Threat Intelligence Group ujawnił, że w jednym przypadku zainfekowany system zawierał bardzo wrażliwe dane: imiona i nazwiska, numery telefonów, daty urodzenia, miejsca urodzenia, numery identyfikacyjne wyborców oraz numery dowodów osobistych. Według firmy celem było identyfikowanie i śledzenie konkretnych osób.
Google zablokował konta i infrastrukturę używaną przez hakerów oraz powiadomił poszkodowane organizacje. Firma zaznaczyła, że grupa UNC2814 nie jest powiązana z inną chińską operacją znaną jako Salt Typhoon, którą władze USA łączyły z atakami na setki amerykańskich instytucji.
Rzecznik ambasady Chin w USA Liu Pengyu oświadczył, że Chiny sprzeciwiają się działalności hakerskiej i odrzucają oskarżenia o prowadzenie cyberataków.
Google ostrzegł, że mimo zablokowania infrastruktury grupa może próbować odbudować swoje możliwości. Skala operacji pokazuje jednak, że była to jedna z większych kampanii szpiegowskich wykrytych w ostatnich miesiącach.