أعلنت شركة Google بالتعاون مع شركاء في الصناعة عن تعطيل البنية التحتية لمجموعة تجسس سيبراني مرتبطة بالصين تُعرف باسم UNC2814، بعد أن تمكنت من اختراق 53 مؤسسة في 42 دولة. المجموعة استخدمت باباً خلفياً جديداً أطلق عليه اسم GRIDTIDE، يعتمد على واجهة Google Sheets API كقناة اتصال لإخفاء حركة المرور الخبيثة وتسهيل نقل البيانات والأوامر. البرمجية الخبيثة مكتوبة بلغة C وتدعم رفع وتنزيل الملفات وتنفيذ أوامر النظام عن بُعد.
أساليب الاختراق والتحرك داخل الشبكات
رغم أن طريقة الوصول الأولي ما زالت قيد التحقيق، إلا أن المجموعة لديها تاريخ في استغلال خوادم الويب والأنظمة الطرفية. بعد الاختراق، استخدم المهاجمون حسابات خدمة للتحرك جانبياً عبر بروتوكول SSH، كما اعتمدوا على أدوات Living-off-the-land (LotL) لإجراء استطلاع، تصعيد الامتيازات، وضمان استمرارية الباب الخلفي. لتحقيق الاستمرارية، أنشأوا خدمة للنظام باسم xapt.service، ما سمح بتشغيل نسخة جديدة من البرمجية بشكل تلقائي. كما استخدموا أداة SoftEther VPN Bridge لإنشاء اتصال مشفر خارجي، وهي تقنية سبق ربطها بمجموعات صينية أخرى.
نطاق عالمي وتهديدات استراتيجية
أشارت جوجل إلى أن نشاط UNC2814 يمتد إلى أكثر من 70 دولة، مع تركيز خاص على الحكومات وقطاع الاتصالات في إفريقيا وآسيا والأميركيتين. الأدلة أظهرت أن البرمجية استهدفت أجهزة تحتوي على بيانات شخصية حساسة، بما يتماشى مع أهداف التجسس السيبراني. ورغم عدم رصد عمليات تسريب بيانات خلال الحملة الأخيرة، إلا أن حجم الاختراقات يعكس خطورة التهديد وقدرة المجموعة على التمويه والاندماج في حركة المرور الشرعية.
إجراءات جوجل وتعطيل البنية التحتية
كجزء من الاستجابة، قامت جوجل بإنهاء جميع المشاريع السحابية التي يسيطر عليها المهاجمون، تعطيل البنية التحتية المعروفة، وقطع الوصول إلى الحسابات وواجهات Google Sheets API التي استُخدمت كقنوات تحكم. الشركة وصفت الحملة بأنها من “أكثر الحملات تأثيراً وانتشاراً” في السنوات الأخيرة، وأكدت أنها أرسلت إشعارات رسمية للضحايا وتعمل على دعم المؤسسات المتضررة.
