Google пресекла глобальную кибершпионскую кампанию против 42 стран, включая Россию

26 февраля, 2026, 18:00

Google пресекла масштабную кибершпионскую кампанию группировки UNC2814 (Gallium), связываемой с Китаем. Атаки затронули не менее 53 организаций в 42 странах мира, включая Россию. Злоумышленники использовали облачные сервисы Google в качестве скрытой инфраструктуры управления вредоносным ПО.

Google пресекла глобальную кампанию кибершпионажа группировки UNC2814 (Gallium), связываемой с Китаем. Основными целями стали государственные учреждения и телекоммуникационные компании, инфраструктура которых позволяет отслеживать коммуникации пользователей. В ходе расследования подтверждено компрометирование не менее 53 организаций в 42 странах, а признаки активности выявлены еще как минимум в двух десятках государств.

Отмечено, что среди стран, где были выявлены зараженные организации или признаки активности UNC2814, присутствует и Россия.

География атак группировки UNC2814: компрометации выявлены в десятках стран мира, включая Россию. Источник: Google Threat Intelligence Group

В ходе операций злоумышленники использовали вредоносное ПО GRIDTIDE, которое обеспечивало удаленное управление зараженными системами, выполнение команд и передачу файлов. Бэкдор применял облачный сервис Google Sheets как канал управления, позволяя маскировать вредоносный трафик под обычную работу с SaaS-приложениями.

Схема работы бэкдора GRIDTIDE, использующего Google Sheets в качестве канала управления и передачи данных между зараженными системами и инфраструктурой злоумышленников.
Источник: Google Threat Intelligence Group

GRIDTIDE использовал API облачных сервисов для обмена командами и данными, что позволяло обходить средства сетевого мониторинга и скрывать активность внутри легитимного трафика. Такой подход относится к тактике «жизни за счет легитимных сервисов» (living off the land), когда вредоносная активность маскируется под обычные операции пользователей.

В одном из подтвержденных случаев вредоносное ПО было установлено на систему, содержащую персональные данные пользователей, включая имена, даты рождения, номера телефонов и идентификационные номера документов. Характер собираемой информации указывает на задачи наблюдения за отдельными лицами и группами интереса.

Для пресечения операции Google отключила инфраструктуру злоумышленников, закрыла используемые облачные проекты, заблокировала учетные записи и прекратила доступ к Google Sheets, применявшимся для управления вредоносным ПО. Также были перенаправлены и заблокированы домены управления, что позволило разорвать связь между атакующими и зараженными системами.

Организации, пострадавшие от атак, получили уведомления и рекомендации по реагированию на инциденты. Несмотря на проведенную операцию, специалисты ожидают, что группировка может возобновить деятельность с использованием новой инфраструктуры.

Словарь: API, Кибершпионаж (Cyber Espionage), Бэкдор, Threat Intelligence

Теги:

Аналитика Угрозы

Читайте также