A divisão de inteligência contra ameaças do Google comprometeu significativamente as operações do grupo cibercriminoso Gallium. Os hackers chineses, também conhecidos como UNC2814, teriam atacado pelo menos 53 organizações de 42 países diferentes e estavam em atividade há cerca de uma década.Como aponta a gigante da tecnologia em nota enviada à Reuters, os cibercriminosos têm um longo histórico na invasão de organizações governamentais e companhias de telecomunicações. “Tratava-se de um vasto aparato de vigilância usado para espionar pessoas e organizações em todo o mundo”, disse John Hultquist, analista-chefe do Google Threat Intelligence Group.Grupo Gallium é investigado há anos, mas só agora sofreu um interrompimento nas atividades (Imagem: Sean Anthony Eddy/Getty Images)Com a ajuda de outros parceiros ainda não identificados, o Google encerrou os projetos armazenados via Google Cloud dos hackers. A infraestrutura de internet usada por esses atores maliciosos também foi desativada, assim como contas em planilhas do Google Sheets. Essas planilhas eram utilizadas para a realização de direcionamento e roubo de dados.A ideia de utilizar o Google Sheets disfarça a operação criminosa do grupo Gallium. Com essas planilhas aparentemente simples, eles se misturavam no tráfego de rede normal e passavam despercebidos. Fora os crimes já confirmados, funcionários do Google entendem que os hackers podem ter invadido empresas de outros 22 países.Como é o grupo Gallium?O Gallium é considerado um grupo de ameaça persistente avançada com anos de experiência e suspeita-se de um envolvimento com o governo chinês. Esse coletivo tinha como um dos grandes focos a espionagem estatal e coleta de dados de governos e instituições militares, utilizando ransomwares para obter as informações.Para comprometer as redes visadas, o Gallium mirava serviços expostos na internet que não receberam correções;Ao utilizar essas brechas consideradas “públicas”, os agentes conseguiam se infiltraram nos sistemas rapidamente;Pesquisadores acreditam que o grupo também utiliza os codinomes Phantom Panda, Alloy Taurus e Granite Typhoon;Não há informações sobre a quantidade de membros do grupo, mas é provável que seja uma equipe organizada com inúmeros papéis distintos;Em um dos ataques, os hackers instalaram uma backdoor nos sistemas da empresa que continha nomes, telefones e números de identificação nacional;Apesar das ligações chinesas, o Google entende que a operação do coletivo é diferente de grupos como o Salt Typhoon, que teria feito inúmeras vítimas nos EUA;Quando estão dentro dos sistemas da vítima, os hackers implantam diversos Trojans de Acesso Remoto, VPNs e web shells. Ver essa foto no Instagram Um post compartilhado por TecMundo (@tecmundo)Apesar de terem tido suas ações comprometidas pelo grupo, não há informações se o Gallium foi totalmente extinto. O porta-voz da Embaixada da China, Liu Pengyu, disse que “a China opõe-se e combate consistentemente as atividades de hackers em conformidade com a lei e, ao mesmo tempo, rejeita firmemente as tentativas de usar questões de segurança cibernética para difamar ou caluniar a China.”Um relatório divulgado pela ZenoX aponta que criminosos estão sequestrando domínios .gov para conduzir campanhas de phishing. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.