 |
| 图:黑客使用便携电脑进行网络攻击 |
(谷歌—2026年2月25日)谷歌高科技巨头于星期三(3月25日)宣布,上周其威胁情报小组(Google Threat Intelligence Group, GTIG)、旗下网络安全公司Mandiant及其他合作伙伴联手行动,成功挫败一项针对四大洲数十个国家电信运营商及政府机构的全球性网络间谍活动。该活动由疑似与中国政府有关联的网络组织UNC2814所为。
根据谷歌发布的调查报告,GTIG自2017年起持续追踪这一编号为UNC2814的威胁组织。该组织被形容为“作案频繁且极为隐秘”,长期锁定非洲、亚洲及美洲的国际政府机构与全球电信企业作为首要目标。谷歌明确指出,此组织与中国(PRC)有关联。
报告显示,在此次干预行动前,谷歌已确认UNC2814入侵了42个国家的53个受害组织(受害者姓名未公开),并怀疑另有至少20个国家可能存在相关感染。攻击者主要通过滥用应用编程接口(API)与软件即服务(SaaS)应用程序进行通信,将这些合法云服务作为命令与控制(C2)基础设施,从而将恶意流量伪装成正常业务流量。
这种依赖云计算合法功能的策略,是近年来网络攻击者为提升隐蔽性而广泛采用的手法。攻击者并不利用系统漏洞或安全缺陷,而是直接借助云端产品的正常运作机制,使其活动难以被侦测。
在此次联合行动中,谷歌团队采取多项果断措施,包括:终止攻击者控制的所有谷歌云项目,切断其对受感染环境的持久访问;识别并禁用所有已知UNC2814使用的网络基础设施;停用相关账户,并撤销其对Google Sheets的访问权限。
Mandiant在调查中发现,UNC2814部署了一种新型后门程序,谷歌内部命名为“GRIDTIDE”。该后门并非源于谷歌产品本身的漏洞,而是通过滥用合法的Google Sheets API功能来实现命令执行、文件上传下载及规避检测。
谷歌特别强调,目前没有证据显示UNC2814与近期备受关注的针对电信领域的中国黑客组织“盐台风”(Salt Typhoon)存在任何关联或重叠,两者为独立运作、目标与手法均有明显差异。
近年来,来自中国的网络威胁日益受到美国政府及全球网络安全界的密切关注。中国相关黑客活动已从过去主要窃取商业机密,转向针对美国关键基础设施、政府部门、政治组织,甚至总统候选人竞选团队进行更广泛的渗透与情报收集。
此外,今年1月底,美国联邦陪审团裁定前谷歌软件工程师丁林葳(Linwei Ding,又名Leon Ding)罪名成立,他被控为中国从事经济间谍活动及窃取人工智能(AI)技术商业秘密。该案涉及丁林葳在2022至2023年间窃取数千页谷歌机密文件,用于在中国设立相关AI初创公司。
对华援助协会