Google und Mandiant haben im Februar 2026 eine bedeutende chinesische Cyber-Spionagekampagne unterbunden, die seit 2017 53 Opfer in 42 Ländern kompromittiert hatte und dabei hauptsächlich Telekommunikationsanbieter und Regierungsorganisationen ins Visier nahm. Die Operation, genannt GRIDTIDE, nutzte eine neuartige Backdoor, die Google Sheets missbrauchte, um heimlich mit Hackern zu kommunizieren, wodurch die mutmaßlich mit China verbundene Gruppe UNC2814 schädliche Aktivitäten im legitimen Cloud-Verkehr tarnte, während sensible Daten einschließlich persönlicher Informationen und Kommunikationsprotokolle gestohlen wurden.
Diese Maßnahme ist laut einem detaillierten Bericht von Googles Threat Intelligence Group und Mandiant eine der bedeutendsten Zerschlagungen chinesischer Cyber-Spionage in den letzten Jahren. Die koordinierte Reaktion umfasste die Löschung der Google Cloud-Projekte der Angreifer, die Deaktivierung ihrer Infrastruktur und den Entzug des Zugriffs auf die Google Sheets API, die als Rückgrat der Operation diente.
Während der Untersuchung stellten Sicherheitsforscher fest, dass die Backdoor Zugriff auf Systeme mit umfangreichen personenbezogenen Daten hatte, einschließlich vollständiger Namen, Telefonnummern, Geburtsdaten und Personalausweisnummern. Google gab an, dass dieses Ausmaß an Zugriff es den Angreifern ermöglichte, Kommunikationsverläufe zu überwachen sowie Dissidenten, Aktivisten und andere relevante Zielpersonen zu beobachten.
Der Fokus der Kampagne auf Telekommunikationsunternehmen deckt sich mit früheren chinesischen Spionagebemühungen, die darauf abzielten, Call Data Records (CDRs) und SMS-Nachrichten für Überwachungszwecke zu stehlen, so der Bericht. Über die 42 bestätigten Kompromittierungen hinaus identifizierten Ermittler Ziele in weiteren 20 Nationen, bei denen eine Infektion vermutet wird.
Technische Innovation und Umgehung
Die GRIDTIDE-Backdoor stellte eine raffinierte Weiterentwicklung der Techniken in der Cyber-Spionage dar. Die Malware kommunizierte mit ihren Betreibern, indem sie spezifische Zellen innerhalb von Google Sheets abfragte, wodurch der schädliche Datenverkehr wie eine legitime Nutzung von Cloud-Diensten erschien. Zelle A1 empfing Befehle, Zelle V1 speicherte Fingerabdrücke der Opferrechner und weitere Zellen verarbeiteten laut Googles technischer Analyse größere Datenübertragungen in 45-Kilobyte-Blöcken.
Alle übertragenen Daten wurden mit einer URL-sicheren Base64-Variante kodiert, um Web-Filter und Erkennungssysteme zu umgehen. Die Angreifer nutzten zudem Google Drive zur Speicherung von Malware-Konfigurationen und setzten SoftEther VPN Bridge ein, um verschlüsselte Verbindungen herzustellen, die ihre Aktivitäten weiter verschleierten.
Nach dem Eindringen in die Netzwerke bewegte sich UNC2814 lateral über SSH unter Verwendung von Service-Konten fort und etablierte Persistenz, indem systemd-Dienste erstellt wurden, die die Malware beim Systemstart automatisch ausführten, wie Ermittler herausfanden.
Google und Mandiant haben spezifische Erkennungsstrategien für Organisationen bereitgestellt, einschließlich der Überwachung von Nicht-Browser-Prozessen, die HTTPS-Anfragen an Google Sheets senden, sowie der Identifizierung von ausführbaren Dateien, die aus ungewöhnlichen Verzeichnissen gestartet werden. Diese Zerschlagung unterstreicht, wie legitime Cloud-Dienste zunehmend für Spionage missbraucht werden, und stellt traditionelle Sicherheitsansätze infrage, die großen Plattformen standardmäßig vertrauen.
Sources
- Google Cloud
