{"id":219748,"date":"2026-02-25T16:55:58","date_gmt":"2026-02-25T15:55:58","guid":{"rendered":"https:\/\/liora.io\/de\/die-massive-zerschlagung-des-gridtide-spionagerings"},"modified":"2026-02-26T11:54:25","modified_gmt":"2026-02-26T10:54:25","slug":"die-massive-zerschlagung-des-gridtide-spionagerings","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/die-massive-zerschlagung-des-gridtide-spionagerings","title":{"rendered":"Die massive Zerschlagung des GRIDTIDE-Spionagerings"},"content":{"rendered":"<p><strong>Google und Mandiant haben im Februar 2026 eine bedeutende chinesische Cyber-Spionagekampagne unterbunden, die seit 2017 53 Opfer in 42 L\u00e4ndern kompromittiert hatte und dabei haupts\u00e4chlich Telekommunikationsanbieter und Regierungsorganisationen ins Visier nahm. Die Operation, genannt GRIDTIDE, nutzte eine neuartige Backdoor, die Google Sheets missbrauchte, um heimlich mit Hackern zu kommunizieren, wodurch die mutma\u00dflich mit China verbundene Gruppe UNC2814 sch\u00e4dliche Aktivit\u00e4ten im legitimen Cloud-Verkehr tarnte, w\u00e4hrend sensible Daten einschlie\u00dflich pers\u00f6nlicher Informationen und Kommunikationsprotokolle gestohlen wurden.<\/strong><\/p>\n<p>Diese Ma\u00dfnahme ist laut einem detaillierten Bericht von <strong>Googles Threat Intelligence Group<\/strong> und <strong>Mandiant<\/strong> eine der bedeutendsten Zerschlagungen chinesischer Cyber-Spionage in den letzten Jahren. Die koordinierte Reaktion umfasste die L\u00f6schung der Google Cloud-Projekte der Angreifer, die Deaktivierung ihrer Infrastruktur und den Entzug des Zugriffs auf die Google Sheets API, die als R\u00fcckgrat der Operation diente.<\/p>\n<p>W\u00e4hrend der Untersuchung stellten Sicherheitsforscher fest, dass die Backdoor Zugriff auf Systeme mit umfangreichen <strong>personenbezogenen Daten<\/strong> hatte, einschlie\u00dflich vollst\u00e4ndiger Namen, Telefonnummern, Geburtsdaten und Personalausweisnummern. Google gab an, dass dieses Ausma\u00df an Zugriff es den Angreifern erm\u00f6glichte, Kommunikationsverl\u00e4ufe zu \u00fcberwachen sowie Dissidenten, Aktivisten und andere relevante Zielpersonen zu beobachten.<\/p>\n<p>Der Fokus der Kampagne auf <strong>Telekommunikationsunternehmen<\/strong> deckt sich mit fr\u00fcheren chinesischen Spionagebem\u00fchungen, die darauf abzielten, Call Data Records (CDRs) und SMS-Nachrichten f\u00fcr \u00dcberwachungszwecke zu stehlen, so der Bericht. \u00dcber die <strong>42 best\u00e4tigten Kompromittierungen<\/strong> hinaus identifizierten Ermittler Ziele in weiteren <strong>20 Nationen<\/strong>, bei denen eine Infektion vermutet wird.<\/p>\n<h3 style=\"margin-top: 2rem;margin-bottom: 1rem\">Technische Innovation und Umgehung<\/h3>\n<p>Die GRIDTIDE-Backdoor stellte eine raffinierte Weiterentwicklung der Techniken in der Cyber-Spionage dar. Die Malware kommunizierte mit ihren Betreibern, indem sie spezifische Zellen innerhalb von Google Sheets abfragte, wodurch der sch\u00e4dliche Datenverkehr wie eine legitime Nutzung von Cloud-Diensten erschien. <strong>Zelle A1<\/strong> empfing Befehle, <strong>Zelle V1<\/strong> speicherte Fingerabdr\u00fccke der Opferrechner und weitere Zellen verarbeiteten laut Googles technischer Analyse gr\u00f6\u00dfere Daten\u00fcbertragungen in <strong>45-Kilobyte-Bl\u00f6cken<\/strong>.<\/p>\n<p>Alle \u00fcbertragenen Daten wurden mit einer URL-sicheren Base64-Variante kodiert, um Web-Filter und Erkennungssysteme zu umgehen. Die Angreifer nutzten zudem <strong>Google Drive<\/strong> zur Speicherung von Malware-Konfigurationen und setzten <strong>SoftEther VPN Bridge<\/strong> ein, um verschl\u00fcsselte Verbindungen herzustellen, die ihre Aktivit\u00e4ten weiter verschleierten.<\/p>\n<p>Nach dem Eindringen in die Netzwerke bewegte sich <strong>UNC2814<\/strong> lateral \u00fcber SSH unter Verwendung von Service-Konten fort und etablierte Persistenz, indem systemd-Dienste erstellt wurden, die die Malware beim Systemstart automatisch ausf\u00fchrten, wie Ermittler herausfanden.<\/p>\n<p>Google und Mandiant haben spezifische Erkennungsstrategien f\u00fcr Organisationen bereitgestellt, einschlie\u00dflich der \u00dcberwachung von Nicht-Browser-Prozessen, die HTTPS-Anfragen an Google Sheets senden, sowie der Identifizierung von ausf\u00fchrbaren Dateien, die aus ungew\u00f6hnlichen Verzeichnissen gestartet werden. Diese Zerschlagung unterstreicht, wie legitime Cloud-Dienste zunehmend f\u00fcr Spionage missbraucht werden, und stellt traditionelle Sicherheitsans\u00e4tze infrage, die gro\u00dfen Plattformen standardm\u00e4\u00dfig vertrauen.<\/p>\n<div style=\"margin-top: 3rem;padding-top: 1.5rem;border-top: 1px solid #e2e4ea\">\n<h3 style=\"margin: 0 0 0.75rem;font-size: 1.1rem;letter-spacing: 0.08em;text-transform: uppercase\">Sources<\/h3>\n<ul style=\"margin: 0;padding-left: 1.2rem\">\n<li>Google Cloud<\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Google und Mandiant haben im Februar 2024 eine bedeutende chinesische Cyber-Spionagekampagne unterbunden, die seit 2017 53 Opfer in 42 L\u00e4ndern kompromittiert hatte und dabei haupts\u00e4chlich Telekommunikationsanbieter und Regierungsorganisationen ins Visier nahm. Die Operation, genannt GRIDTIDE, nutzte eine neuartige Backdoor, die Google Sheets missbrauchte, um heimlich mit Hackern zu kommunizieren, wodurch die mutma\u00dflich mit China verbundene Gruppe UNC2814 sch\u00e4dliche Aktivit\u00e4ten im legitimen Cloud-Verkehr tarnte, w\u00e4hrend sensible Daten einschlie\u00dflich pers\u00f6nlicher Informationen und Kommunikationsprotokolle gestohlen wurden.<\/p>\n","protected":false},"author":87,"featured_media":219747,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2473,2475],"class_list":["post-219748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersicherheit","category-nachrichten"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=219748"}],"version-history":[{"count":1,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219748\/revisions"}],"predecessor-version":[{"id":219785,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/219748\/revisions\/219785"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/219747"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=219748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=219748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}