Tras tensión por cable, Google alerta: grupo de ciberespionaje chino robó datos en Chile y 42 países

En plena polémica por el cable submarino entre China y Chile, un reciente informe de Google develó la presencia de un grupo de ciberespionaje vinculado al Gobierno chino que estaría operando en decenas de países de diferentes continentes. Entre las naciones afectadas, se encontraría nuestro país.

De acuerdo con la investigación del Grupo de Inteligencia de Amenazas de Google -Google Threat Intelligence Group (GTIG)-, en conjunto con Mandiant y sus socios, se adoptaron “medidas para desmantelar una campaña global de espionaje dirigida a organizaciones gubernamentales y de telecomunicaciones en docenas de países de cuatro continentes“.

El grupo en cuestión se trata de UNC2814, un presunto grupo de ciberespionaje que posee nexos con la República Popular China (RPC), al que GTIG ha rastreado desde 2017, señala el gigante multinacional de tecnología.

“Este actor, prolífico y escurridizo, tiene un largo historial de ataques a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América, y había confirmado intrusiones en 42 países cuando se produjo la interrupción”, subraya.

El mecanismo del grupo de ciberespionaje de China

El informe de Google detalla que “el atacante utilizaba llamadas a la API -interfaz de programación de aplicaciones- para comunicarse con aplicaciones SaaS -Software como Servicio- como infraestructura de comando y control (C2) para camuflar su tráfico malicioso como benigno, una táctica común utilizada por los actores de amenazas para mejorar el sigilo de sus intrusiones”.

Es decir, “en lugar de aprovechar una debilidad o fallo de seguridad, los atacantes se basan en productos alojados en la nube (de Google Cloud) para funcionar correctamente y hacer que su tráfico malicioso parezca legítimo”.

El resultado del informe de Google es del 25 de febrero. Hasta el 18 de ese mes, la investigación confirmó que UNC2814 -el grupo de ciberespionaje chino- había afectado a 53 víctimas en 42 países de cuatro continentes e identificado infecciones sospechosas en al menos 20 países más.

Según la empresa estadounidense, la disrupción, liderada por GTIG en asociación con otros equipos, incluyó las siguientes acciones:

–Terminar todos los proyectos de Google Cloud controlados por el atacante, cortando efectivamente su acceso persistente a los entornos comprometidos por la nueva puerta trasera GRIDTIDE.

-Identificar y deshabilitar toda la infraestructura UNC2814 conocida.

–Deshabilitar las cuentas de los atacantes y revocar el acceso a las llamadas API de Google Sheets aprovechadas por el actor para fines de comando y control (C2).

–Liberación de un conjunto de IOC vinculados a la infraestructura UNC2814 activa desde al menos 2023.

Las diligencias en torno a la detección de UNC2814, según GTIG, se vieron aceleradas por una reciente indagatoria de Mandiant Threat Defense sobre la actividad del grupo.

En específico, Mandiant descubrió que UNC2814 “aprovechaba una novedosa puerta trasera identificada como GRIDTIDE”.

“Esta actividad no se debe a una vulnerabilidad de seguridad en los productos de Google, sino que abusa de la funcionalidad legítima de la API de Hojas de Cálculo de Google para ocultar el tráfico C2“, añade.

“Si bien no se ha determinado el vector de acceso inicial específico para esta campaña (de ciberespionaje del grupo chino), UNC2814 tiene un historial de acceso mediante la explotación y vulneración de servidores web y sistemas perimetrales”, agrega.

Cabe mencionar que este informe dado a conocer por Google se da en medio de la polémica por el proyecto que buscaba construir un cable submarino de fibra óptica entre China y Chile, por la cual el Gobierno de Estados Unidos (EEUU) elevó las alertas tras catalogar dicho plan como una “amenaza a la seguridad” tanto de la nación norteamericana como a nivel regional.