Một chiến dịch gián điệp mạng quy mô lớn đã bị phát hiện, theo dõi và vô hiệu hóa sau gần một thập kỷ hoạt động thầm lặng. Chiến dịch này nhắm mục tiêu vào các nhà cung cấp viễn thông và cơ quan chính phủ trên bốn châu lục. Google đã phối hợp hành động để chấm dứt hoàn toàn hoạt động này, cắt đứt quyền truy cập liên tục của nhóm tấn công và công bố thông tin tình báo về mối đe dọa để hỗ trợ các tổ chức bị ảnh hưởng trong việc xác định và ứng phó với các cuộc tấn công mạng.

Gián Đoạn Chiến Dịch Gián Điệp Toàn Cầu của Threat Actor UNC2814

Google Threat Intelligence Group (GTIG) và Mandiant đã thực hiện hành động phối hợp để phá vỡ một chiến dịch gián điệp toàn cầu liên quan đến tác nhân đe dọa được theo dõi là UNC2814.

GTIG đã theo dõi nhóm này từ năm 2017. Đến ngày 18 tháng 2 năm 2026, cuộc điều tra đã xác nhận 53 nạn nhân tại 42 quốc gia, với các trường hợp nhiễm trùng bị nghi ngờ ở ít nhất 20 quốc gia khác trải dài khắp Châu Phi, Châu Á và Châu Mỹ.

Phạm vi hoạt động rộng lớn này phản ánh gần một thập kỷ nỗ lực có chủ đích, tập trung vào một số cơ sở hạ tầng truyền thông nhạy cảm nhất thế giới. Điều này nhấn mạnh sự tinh vi của các cuộc tấn công mạng kéo dài và khả năng lẩn tránh của tác nhân đe dọa này.

Mã Độc GRIDTIDE: Backdoor Tinh Vi Sử Dụng Google Sheets cho C2

Chiến dịch xoay quanh một backdoor chưa từng được tài liệu hóa trước đây có tên là GRIDTIDE. Thay vì sử dụng các máy chủ chỉ huy và kiểm soát (C2) chuyên dụng, mã độc GRIDTIDE định tuyến liên lạc thông qua Google Sheets.

Nó xem các ô tính toán của bảng tính như một kênh nhắn tin trực tiếp giữa kẻ tấn công và các máy bị xâm nhập. Kỹ thuật này giúp lưu lượng độc hại được ngụy trang thành hoạt động đám mây thông thường, khiến các hệ thống phòng thủ mạng tiêu chuẩn cực kỳ khó phát hiện.

Điều này làm nổi bật sự tinh vi trong cách thiết kế của mã độc GRIDTIDE và khả năng thích nghi của nó để né tránh các biện pháp bảo mật truyền thống. Tác nhân đe dọa UNC2814 không có sự trùng lặp đã biết với nhóm Salt Typhoon được báo cáo công khai; nhóm này nhắm mục tiêu vào các nạn nhân hoàn toàn khác bằng các phương pháp, công cụ và quy trình riêng biệt.

Khám Phá GRIDTIDE và Vectors Truy Cập Ban Đầu

Các nhà phân tích của Google Cloud đã xác định mã độc GRIDTIDE sau khi một cuộc điều tra của Mandiant Threat Defense gắn cờ hành vi đáng ngờ trên máy chủ Linux CentOS của một khách hàng.

Một cảnh báo phát hiện đã cho thấy một tệp nhị phân có tên /var/tmp/xapt. Tệp này được tạo ra để giống với một công cụ hệ thống phổ biến. Tệp nhị phân này đã khởi chạy một shell với đặc quyền root và đang chạy các lệnh để xác nhận quyền kiểm soát hoàn toàn máy.

Phát hiện này đã cung cấp cho các nhà điều tra manh mối quan trọng cần thiết để làm sáng tỏ toàn bộ hoạt động của UNC2814. Tên tệp nhị phân xapt được chọn có chủ đích để mạo danh tiện ích quản lý gói cũ được tìm thấy trong các hệ thống Linux dựa trên Debian.

Mặc dù vector truy cập ban đầu chính xác chưa được xác nhận, UNC2814 có lịch sử đột nhập bằng cách xâm phạm các máy chủ web hướng ra internet và các thiết bị mạng biên (edge network devices).

Khi đã vào được bên trong, nhóm này dựa vào các công cụ hệ thống hợp pháp được tích hợp sẵn để di chuyển ngang — một kỹ thuật được gọi là “living off the land”. Kỹ thuật này tránh sử dụng phần mềm mới có thể kích hoạt cảnh báo bảo mật, làm cho việc phát hiện các dấu hiệu của một cuộc tấn công mạng trở nên cực kỳ khó khăn.

Mục Tiêu Tấn Công và Cơ Chế Duy Trì Quyền Truy Cập

Các hệ thống bị nhắm mục tiêu bao gồm các máy chứa thông tin nhận dạng cá nhân (PII) như tên, số điện thoại, số ID quốc gia và hồ sơ đăng ký cử tri. Những thông tin này phù hợp với các ưu tiên thu thập tình báo.

Sau khi đảm bảo quyền truy cập, UNC2814 đã nhúng mã độc GRIDTIDE bằng cách đăng ký một dịch vụ systemd tại /etc/systemd/system/xapt.service. Mã độc này chạy thông qua lệnh nohup, đảm bảo nó tiếp tục hoạt động ngay cả sau khi phiên làm việc của kẻ tấn công kết thúc.

Là một kênh liên lạc thứ cấp, nhóm đã triển khai SoftEther VPN Bridge, mở một đường hầm mã hóa đi ra đến cơ sở hạ tầng bên ngoài. Metadata cho thấy đường hầm này đã hoạt động từ tháng 7 năm 2018. Kênh này cung cấp một lớp ẩn danh và bền bỉ bổ sung, củng cố khả năng duy trì quyền kiểm soát trong các chiến dịch tấn công mạng lâu dài.

Phân Tích Kỹ Thuật Chi Tiết Mã Độc GRIDTIDE

GRIDTIDE là một backdoor dựa trên ngôn ngữ lập trình C, có khả năng thực thi các lệnh shell, tải tệp lên các máy chủ bị xâm nhập và trích xuất dữ liệu.

Nó sử dụng khóa mã hóa AES-128 16 byte để mở khóa cấu hình Google Drive của mình. Cấu hình này chứa thông tin xác thực tài khoản dịch vụ và ID bảng tính cần thiết để truy cập C2. Sau khi kết nối, nó sẽ xóa 1.000 hàng đầu tiên của bảng tính, thu thập dấu vân tay của máy nạn nhân — bao gồm tên máy chủ, phiên bản hệ điều hành, địa chỉ IP cục bộ và múi giờ — sau đó lưu trữ dữ liệu đó vào ô V1.

Các lệnh đến thông qua ô A1, và kết quả trả về thông qua một phạm vi ô được định nghĩa. Tất cả lưu lượng truy cập được mã hóa bằng URL-safe Base64 để vượt qua các bộ lọc web và công cụ kiểm tra mạng, làm tăng thêm tính ẩn danh và hiệu quả của các cuộc tấn công mạng này.

Các Chỉ Số Thỏa Hiệp (IOCs) và Đối Phó với Mối Đe Dọa Mạng

Các tổ chức nên thực hiện các biện pháp phòng ngừa và kiểm tra sau để phát hiện và ứng phó với chiến dịch tấn công mạng này hoặc các mối đe dọa tương tự:

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

• Tệp nhị phân độc hại:/var/tmp/xapt (có thể thay đổi tên để mạo danh).
• Dịch vụ duy trì quyền truy cập:/etc/systemd/system/xapt.service.
• Kênh liên lạc thứ cấp: Thành phần SoftEther VPN Bridge trên máy chủ Linux.
• Lưu lượng C2 liên quan đến Google Sheets API: Các yêu cầu đến các endpoint của Google Sheets API (đặc biệt là các hoạt động batchClear, batchUpdate, và valueRenderOption=FORMULA) từ các tiến trình không phải trình duyệt.

Khuyến Nghị Phát Hiện và Giảm Thiểu Rủi Ro

Để tăng cường an ninh mạng và phát hiện các dấu hiệu của một cuộc tấn công mạng, các tổ chức nên:

• Theo dõi các kết nối HTTPS đi ra đến các endpoint của Google Sheets API, đặc biệt là các yêu cầu liên quan đến batchClear, batchUpdate, và valueRenderOption=FORMULA từ các tiến trình không phải trình duyệt. Việc này giúp nhận diện lưu lượng C2 bị ngụy trang.
• Kiểm tra các dịch vụ systemd trong các thư mục không mong muốn, các tệp nhị phân chạy từ /var/tmp/, và các thành phần của SoftEther VPN trên các máy chủ Linux. Đây là những dấu hiệu rõ ràng của việc duy trì quyền truy cập hoặc thiết lập kênh liên lạc phụ.
• Áp dụng quy tắc YARA do GTIG công bố cho mã độc GRIDTIDE và đối chiếu danh sách IOC đã phát hành với nhật ký nội bộ sẽ giúp xác nhận liệu có bất kỳ sự tiếp xúc còn sót lại nào từ chiến dịch này hay không.

Để biết thêm chi tiết kỹ thuật về chiến dịch này, bạn có thể tham khảo bài viết từ Google Cloud tại: Disrupting GRIDTIDE: Google Cloud and Mandiant dismantle global espionage campaign.

Việc liên tục cập nhật threat intelligence và thực hiện các biện pháp bảo mật chủ động là yếu tố then chốt để chống lại các mối đe dọa mạng tinh vi và ngăn chặn các cuộc tấn công mạng thành công. Điều này góp phần củng cố an ninh mạng tổng thể cho các tổ chức.