O grupo hacker chinês que espionava brasileiros – e foi derrubado pelo Google

Grupo hacker chinês é desmantelado após espionagem a brasileiros

O Google divulgou, recentemente, a interrupção de uma ampla campanha de espionagem digital denominada GRIDTIDE, liderada pelo grupo chinês UNC2814. Essa operação afetou empresas de telecomunicações e órgãos governamentais em 42 países, incluindo o Brasil.

O grupo atuava desde, pelo menos, 2017, monitorando “pessoas de interesse” por meio de acesso a dados sigilosos. No Brasil, as invasões impactaram diversas operadoras e foram intensificadas a partir de 2018.

Como os hackers atuavam e se disfarçavam

De acordo com as investigações do Google, o grupo UNC2814 é vinculado à China e seu foco principal eram operadoras de telecomunicações e instituições governamentais em mais de 70 países.

Táticas utilizadas

Diferente de muitos ataques que exploram vulnerabilidades, os hackers adotaram uma estratégia que abusava de ferramentas legítimas.

Uma das táticas foi o uso da API do Google Sheets, que funcionou como um canal de comando e controle. Essa abordagem permitiu que o tráfego de rede parecesse um uso normal dos serviços em nuvem, dificultando a detecção por sistemas de segurança tradicionais.

O grupo implantou um malware sofisticado chamado GRIDTIDE nos sistemas das vítimas, que apresentava funcionalidades como:

Persistência: O vírus era programado para permanecer ativo mesmo após o encerramento das sessões.

Controle remoto: Permitindo aos invasores executar comandos e gerenciar dados nos servidores comprometidos.

Coleta de dados: O malware realizava um “reconhecimento” dos sistemas infectados, coletando informações como nomes de usuário, endereços IP e características do sistema operacional.

Objetivos da espionagem

O principal foco era a vigilância e a coleta de inteligência.

Foram encontrados indícios de acesso a informações pessoais sensíveis, incluindo nomes completos, números de telefone, CPFs, datas de nascimento e até títulos de eleitor.

Além disso, em empresas de telefonia, o acesso possibilitou o monitoramento de "pessoas de interesse", como políticos e jornalistas, permitindo rastrear mensagens SMS e registros de chamadas.

Ação do Google para neutralizar a ameaça

O Google, em parceria com o grupo de inteligência GTIG e a Mandiant, implementou medidas para desmantelar a operação. Entre as ações, destacam-se:

Desativação da infraestrutura: Desconexão de projetos no Google Cloud e das contas controladas pelos hackers.

Revogação de acesso: Bloqueio do uso das APIs do Google Sheets que o grupo utilizava para se comunicar com o malware.

Transparência e notificação: As vítimas confirmadas foram alertadas, e foram divulgados Indicadores de Comprometimento (IOCs), que ajudam outras empresas a identificar possíveis invasões.

Pedro Spadoni, jornalista formado pela Universidade Metodista de Piracicaba (Unimep), já atuou em diversos meios de comunicação e contribui com conteúdos variados no Olhar Digital.