🔎 Cyberveille

Le Google Threat Intelligence Group (GTIG) et le cabinet Mandiant ont rendu publics mercredi les détails d'une opération coordonnée contre UNC2814. le groupe est sous étroite surveillance depuis 2017 et soupçonné d'agir pour le compte de la République populaire de Chine. Les hackers ciblent principalement des opérateurs télécoms et des administrations gouvernementales en Afrique, en Asie et sur le continent américain.

GRIDTIDE : quand Google Sheets devient un canal d'espionnage Au cœur du dispositif on trouve GRIDTIDE, un backdoor - autrement dit une porte dérobée - développé en langage C. Ce programme est capable d'exécuter des commandes à distance et de transférer des fichiers depuis ou vers les machines infectées.

GRIDTIDE ne passe pas par un serveur de contrôle classique pour recevoir ses instructions. Il interroge directement un fichier tableur hébergé sur Google Sheets via l'API officielle du service. Oui, il s'agit bien de la même interface utilisée par n'importe quelle application légitime. Le trafic malveillant se fond dans les échanges ordinaires avec les serveurs Google, ce qui le rend donc difficile à détecter par les outils de surveillance réseau habituels.