Google Sheets использовали для глобального шпионажа за телеком-компаниями

Google сообщила о пресечении масштабной кампании глобального шпионажа, в которой злоумышленники использовали её же сервис Google Sheets для скрытого перехвата данных телекоммуникационных и государственных организаций.

Как следует из блога Google Threat Intelligence Group (GTIG), угроза, связанная с группой UNC2814, которую компания подозревает в связях с Китаем, действовала в десятках стран на четырёх континентах. Злоумышленники использовали API-вызовы для взаимодействия с облачными приложениями, маскируя вредоносный трафик под легитимный.

Ключевым инструментом стал сервис Google Sheets, который использовался не как таблица, а как канал управления (C2) для передачи команд и данных. Механизм, названный Gridtide, представлял собой сложный бэкдор на языке C, способный выполнять произвольные shell-команды, а также загружать и скачивать файлы.

Вредоносная программа подключалась к скомпрометированному файлу Google Sheets через API, проводила разведку на конечном устройстве (собирая имя пользователя, данные ОС, IP-адрес и другую информацию), а затем отправляла эти данные в определённую ячейку таблицы. Это позволяло атакующим передавать команды и маскировать передачу данных для слежки за «лицами, представляющими интерес».

Google отмечает, что, хотя в ходе этой конкретной кампании не было зафиксировано прямой утечки конфиденциальных данных, подобные вторжения в телеком-сектор в прошлом приводили к краже записей звонков, незашифрованных SMS-сообщений и компрометации систем законного перехвата.

Компания заявила, что её действия нарушили работу кампании UNC2814. Однако Google ожидает, что злоумышленники приложат значительные усилия, чтобы восстановить свою глобальную инфраструктуру.