Google desarticula grupo hacker chinês após quase uma década de ataques globais
O Google anunciou nesta quarta-feira (25) a desarticulação de um sofisticado grupo hacker chinês que operava há quase dez anos, invadindo sistemas de governos e empresas em pelo menos 42 países. Conhecido como UNC2814 ou Gallium, o grupo utilizava serviços online como planilhas para conduzir seus ataques cibernéticos em escala global.
Operadoras brasileiras foram alvo de invasões
Entre os alvos confirmados pelo Google estão operadoras de telecomunicações brasileiras, que tiveram seus sistemas invadidos pelo grupo hacker. A empresa não revelou quais empresas específicas foram comprometidas, mas confirmou que dados sensíveis foram acessados durante os ataques.
Segundo a investigação conduzida pelo Grupo de Inteligência de Ameças do Google (GTIG) em parceria com a Mandiant (sua subsidiária de cibersegurança) e outros parceiros não identificados, os sistemas brasileiros invadidos armazenavam informações pessoais críticas dos clientes.
Os dados comprometidos incluíam:
- Nome completo dos usuários
- Número de telefone
- Data e local de nascimento
- Números de identidade
- Títulos de eleitor
Monitoramento de comunicações e vigilância
O Google revelou que nem todos os ataques resultaram em roubo direto de dados, mas o grupo hacker demonstrou capacidade de monitorar registros de chamadas telefônicas e mensagens SMS dentro dos sistemas das operadoras. Esta capacidade permitia vigilância detalhada de indivíduos e organizações.
"Historicamente, esse foco em comunicações sensíveis visa possibilitar a vigilância de indivíduos e organizações, particularmente dissidentes e ativistas, bem como alvos tradicionais de espionagem", explicou o Google em seu relatório técnico.
Método sofisticado de infiltração
A inteligência do Google monitorava o grupo UNC2814 desde 2017 e estima que, além dos 42 países confirmados, o grupo tenha invadido sistemas em outros 20 nações. A análise técnica revelou um método de ataque particularmente engenhoso.
Os hackers se infiltravam nos dispositivos explorando falhas conhecidas na comunicação entre redes internas e a internet. Uma vez dentro do sistema, inseriam arquivos maliciosos que lhes davam controle total sobre as máquinas comprometidas.
Um desses malwares, chamado Gridtide, estabelecia uma conexão entre o dispositivo da vítima e o Google Planilhas. As planilhas online funcionavam como um canal de comunicação secreto onde os invasores enviavam comandos através de códigos ocultos e monitoravam o progresso dos ataques.
Abuso de funcionalidades legítimas
O Google enfatizou que "esta atividade não é resultado de uma vulnerabilidade de segurança nos produtos do Google. Em vez disso, ela abusa da funcionalidade legítima da API do Google Sheets para disfarçar o tráfego de comando e controle".
A empresa esclareceu que os hackers não comprometeram a segurança dos produtos Google, mas utilizaram as planilhas online para camuflar sua atividade ilegal, misturando seu tráfego de rede com o de usuários legítimos e evitando detecção.
Como resposta, o Google encerrou os projetos do grupo hacker e desativou todas as contas utilizadas para acessar os arquivos maliciosos, interrompendo definitivamente suas operações.
Posicionamento da China e implicações internacionais
A embaixada da China nos Estados Unidos respondeu às acusações afirmando que "a cibersegurança é um desafio para todos os países e deve ser abordada por meio do diálogo e da cooperação".
Em nota oficial, a representação diplomática declarou: "A China se opõe e combate consistentemente as atividades de hackers de acordo com a lei e, ao mesmo tempo, rejeita firmemente as tentativas de usar questões de segurança cibernética para difamar ou caluniar a China".
Este caso destaca a crescente sofisticação das ameaças cibernéticas transnacionais e a importância da cooperação internacional entre empresas de tecnologia e agências de segurança para combater grupos hacker organizados que operam em escala global por períodos prolongados.
