O grupo de inteligência contra ameaças do Google afirmou ter comprometido de forma significativa as operações do coletivo cibercriminoso conhecido como Gallium, ou UNC2814. Segundo a empresa, os hackers de origem chinesa atacaram pelo menos 53 organizações em 42 países e atuavam há cerca de uma década, com foco em instituições governamentais e empresas de telecomunicações.
Em comunicado à Reuters, o Google informou que, com o apoio de parceiros ainda não identificados, encerrou projetos vinculados aos atacantes hospedados no Google Cloud e desativou a infraestrutura de internet utilizada por esses agentes maliciosos. Entre os alvos das ações de mitigação estão também contas e planilhas do Google Sheets que o grupo empregava para direcionamento e exfiltração de dados.
O uso de planilhas do Google fazia parte da técnica do grupo para mascarar a atividade criminosa, integrando-se ao tráfego normal da rede e dificultando a detecção. Funcionários do Google estimam que, além dos ataques confirmados em 42 países, o coletivo pode ter invadido empresas em outros 22 países.
“Tratava-se de um vasto aparato de vigilância usado para espionar pessoas e organizações em todo o mundo”, afirmou John Hultquist, analista-chefe do Google Threat Intelligence Group.
Como é o grupo Gallium?
O Gallium é classificado como um grupo de ameaça persistente avançada (APT) com anos de atuação e há suspeitas de vínculos com o governo chinês. Entre os objetivos atribuídos ao coletivo estão espionagem estatal e coleta de informações de governos e instituições militares, com o uso de ransomwares para obter dados.
Para ganhar acesso às redes visadas, os operadores exploravam serviços expostos à internet que não tinham sido corrigidos, aproveitando falhas públicas para se infiltrar rapidamente. Pesquisadores associam o grupo aos codinomes Phantom Panda, Alloy Taurus e Granite Typhoon.
Em incidentes analisados, os invasores instalaram backdoors que continham registros com nomes, telefones e números de identificação nacional. Depois de dentro dos sistemas, o Gallium também implantava diversos Trojans de Acesso Remoto, VPNs e web shells para manter e expandir o controle.
O Google ressalta que, apesar das ligações à China, as operações do Gallium diferem de grupos como o Salt Typhoon, que teria causado diversas vítimas nos Estados Unidos.
Sobre a ação do Google, o porta-voz da Embaixada da China, Liu Pengyu, declarou que “a China opõe-se e combate consistentemente as atividades de hackers em conformidade com a lei e, ao mesmo tempo, rejeita firmemente as tentativas de usar questões de segurança cibernética para difamar ou caluniar a China.”
Relatórios externos também apontam outras ameaças em curso: a empresa ZenoX divulgou estudo indicando que criminosos estão sequestrando domínios .gov para realizar campanhas de phishing.
Não há, por enquanto, confirmação pública de que as operações do Gallium foram totalmente extintas, apenas que parte de sua infraestrutura foi desativada pelas medidas adotadas.
Com informações de Tecmundo
The post Google interrompe operações do grupo cibercriminoso Gallium especializado em invadir governos appeared first on Produtora de Funk | GR6.