Il foglio di calcolo che usate per la lista della spesa è stato un'arma di spionaggio cinese per otto anni. Google Sheets — non un server nel deep web, non un dominio .onion — un normalissimo foglio di calcolo. Con quello, un gruppo di hacker legati a Pechino ha spiato telecomunicazioni e governi in 42 Paesi. Google ha dovuto smantellare pezzi della propria infrastruttura per fermarli.
GridTide — il malware che si nasconde in un foglio di calcolo
Il gruppo si chiama UNC2814 e Google lo traccia dal 2017. L'arma principale è GridTide, una backdoor scritta in C che sfrutta un'idea tanto semplice quanto geniale: usare l'API di Google Sheets come canale di comando e controllo.
Il meccanismo è chirurgico. Il malware viene installato su un server compromesso — telecomunicazioni, governi — e si collega a un normalissimo foglio di calcolo Google. Ogni secondo, interroga la cella A1 in cerca di comandi. L'attaccante scrive l'istruzione nella cella, il malware la esegue, e scarica il risultato nelle celle successive. I dati del sistema infetto finiscono nella cella V1. A inizio sessione, le prime mille righe vengono cancellate per eliminare le tracce.
Per la persistenza, il malware si maschera come "xapt" — un nome volutamente simile al gestore di pacchetti apt di Linux — e si installa come servizio systemd, avviandosi automaticamente a ogni riavvio del server. Per le comunicazioni criptate, gli attaccanti usavano SoftEther VPN Bridge, un software open source per creare tunnel VPN nascosti.