Chinesische Hacker nutzten Google-Workspace-Regeln für jahrelangen Diebstahl aus Forschung und Militär

Wie die Angreifer in die Netzwerke eindrangen

Ein staatlich unterstützter Akteur mit Verbindungen zu China nutzte über einen Zeitraum von mehr als einem Jahr eine gezielte Kampagne, um sensible Forschungs- und Militär-E-Mails aus nordamerikanischen Netzwerken abzuschöpfen. Der Einstieg erfolgte über REDCap, eine webbasierte Plattform, die vor allem in der medizinischen und akademischen Forschung zur Verwaltung von Studien-Datenbanken eingesetzt wird. Die Angreifer platzierten eine Hintertür auf extern zugänglichen REDCap-Servern, ohne dass zunächst bekannt ist, welche konkreten Schwachstellen oder Angriffsvektoren genutzt wurden. Laut Google Threat Intelligence Group (GTIG) wurden ältere, verwundbare Versionen des Systems gezielt sondiert, doch weder eine spezifische CVE-Nummer noch betroffene Versionsnummern wurden genannt.

Nach dem Eindringen installierten die Angreifer eine als INFINITERED bezeichnete Schadsoftware, die REDCap-Systemdateien manipuliert. Diese Malware diente zunächst der internen Aufklärung und dem Sammeln von Anmeldedaten. Die Angreifer stahlen dabei Datenbank- und Dienstkonten-Zugangsdaten, um sich weiter im Netzwerk auszubreiten. Innerhalb von etwa drei Monaten nach dem Erstzugriff gelang es ihnen, sich bis zu einem Domänenadministrator-Konto hochzuarbeiten. Der genaue Weg dorthin wurde nicht detailliert beschrieben, doch typische Schritte in solchen Angriffen umfassen das Ausnutzen von Schwachstellen in Webanwendungen, das Durchsuchen von Dateisystemen nach gespeicherten Anmeldedaten und das seitliche Bewegen durch das Netzwerk.

Google Workspace als unbeabsichtigte Exfiltrationshilfe

Der eigentliche Datenabfluss erfolgte nicht durch klassische Malware auf den Endgeräten der Opfer, sondern durch die Manipulation einer legitimen Funktion von Google Workspace. Die Angreifer nutzten Content-Compliance-Regeln, eine Funktion, die eigentlich dazu dient, eingehende E-Mails nach bestimmten Stichworten zu scannen und bei Übereinstimmung Maßnahmen wie Kopieren oder Weiterleiten auszulösen. Diese Regeln werden häufig in Unternehmen eingesetzt, um Compliance-Anforderungen zu erfüllen oder verdächtige Inhalte zu filtern. Die Hacker missbrauchten diese Funktion, um eine Regel zu erstellen, die nach fast 150 Schlüsselbegriffen, Suchbegriffen und E-Mail-Adressen suchte.

Sobald eine E-Mail eine dieser Bedingungen erfüllte, wurde sie automatisch als Blindkopie an eine von den Angreifern kontrollierte Gmail-Adresse weitergeleitet. Auffällig war dabei die fehlerhafte Schreibweise des Begriffs „Patriot“ in der Regel, was auf eine hastige oder automatisierte Erstellung hindeutet. Google hat die betroffene E-Mail-Adresse inzwischen deaktiviert und die Regel aus den betroffenen Konten entfernt. Dieser Vorfall zeigt, wie Angreifer legitime Verwaltungsfunktionen in Cloud-Diensten für ihre Zwecke umfunktionieren können, ohne dass die Opfer zunächst etwas davon bemerken.

Betroffene Sektoren und mögliche Motive

Laut Google betrafen die Angriffe mehrere Organisationen in den USA und Kanada, darunter klinische Anbieter, akademische Zentren, militärische Gesundheitseinrichtungen, Interessenverbände und Gesundheitsbehörden. Die Bandbreite der Ziele deutet darauf hin, dass die Angreifer gezielt nach sensiblen Forschungsdaten, medizinischen Studien und möglicherweise auch nach Informationen mit militärischer Relevanz suchten. Besonders kritisch ist der Zugriff auf militärische Gesundheitseinrichtungen, da hier möglicherweise Daten zu Studien über Verletzungen, Behandlungsmethoden oder epidemiologischen Erkenntnissen abgegriffen wurden.

Die Kombination aus medizinischer und militärischer Forschung als Ziele legt nahe, dass die Angreifer an Erkenntnissen interessiert waren, die sowohl zivile als auch militärische Anwendungen haben könnten. Beispielsweise könnten Daten zu neuartigen Behandlungsmethoden, Impfstoffforschung oder epidemiologischen Modellen für biologische Kriegsführung oder strategische Gesundheitsplanung von Interesse sein. Die Tatsache, dass die Angriffe über einen Zeitraum von mindestens zwei Jahren stattfanden, unterstreicht die Geduld und das strategische Vorgehen der Gruppe.

Technische Details der Malware INFINITERED

Die von Google als INFINITERED bezeichnete Schadsoftware wurde direkt in die REDCap-Systemdateien integriert und diente als zentrales Werkzeug für die Aufklärung und Datenexfiltration. Die Malware ermöglichte es den Angreifern, interne Systeme zu scannen, Anmeldedaten zu sammeln und sich lateral im Netzwerk zu bewegen. Obwohl Google keine vollständige technische Analyse veröffentlicht hat, deuten die beschriebenen Funktionen darauf hin, dass es sich um eine modulare Backdoor handelt, die je nach Bedarf erweitert werden kann.

Typische Merkmale solcher Malware umfassen das Auslesen von Konfigurationsdateien, das Abfangen von Tastatureingaben oder das Sammeln von Netzwerkmetadaten. Da REDCap auf PHP und einer MySQL-Datenbank basiert, könnte die Malware auch Datenbankabfragen manipulieren oder sensible Informationen direkt aus den Studien-Datenbanken extrahieren. Die Integration in Systemdateien macht die Erkennung durch herkömmliche Virenscanner schwieriger, da die Malware Teil der legitimen Software wird und deren Verhalten imitiert.

Warum die Angriffe so schwer zu erkennen waren

Einer der Gründe, warum diese Kampagne so lange unentdeckt blieb, liegt in der Nutzung legitimer Tools und Funktionen. Die Angreifer nutzten keine Zero-Day-Exploits oder komplexe Malware, sondern setzten auf etablierte Systeme wie REDCap und Google Workspace. Die Hintertür in REDCap war zwar eine Manipulation der Software, doch die eigentliche Exfiltration erfolgte über eine standardmäßige Funktion von Google Workspace, die für Compliance-Zwecke gedacht ist.

Zudem fand die Aktivität hauptsächlich im Hintergrund statt: Die Angreifer durchsuchten das Netzwerk nach Anmeldedaten, bewegten sich lateral und richteten die Exfiltrationsregel ein, ohne dass die Opfer ungewöhnliche Netzwerkaktivitäten oder Malware-Signaturen erkennen konnten. Erst als Google die betroffene E-Mail-Adresse deaktivierte und die Regeln entfernte, wurde die Kampagne unterbrochen. Dies unterstreicht die Herausforderungen für IT-Sicherheitsteams, die nicht nur nach klassischen Angriffsmustern suchen müssen, sondern auch verdächtige Konfigurationen in Cloud-Diensten und Anwendungen im Blick behalten sollten.

Maßnahmen für betroffene Organisationen

Organisationen, die REDCap oder ähnliche Forschungsplattformen einsetzen, sollten umgehend prüfen, ob ihre Systeme kompromittiert wurden. Dazu gehört eine Überprüfung der REDCap-Installation auf verdächtige Dateimodifikationen, unbekannte Benutzerkonten oder ungewöhnliche Datenbankaktivitäten. Da der initiale Zugriffsvektor nicht vollständig geklärt ist, sollten auch ältere, verwundbare Versionen des Systems aktualisiert oder durch neuere ersetzt werden.

Für Google Workspace-Nutzer ist es ratsam, die Content-Compliance-Regeln und Weiterleitungsregeln zu überprüfen. Besonders verdächtig sind Regeln, die nach ungewöhnlichen Stichworten suchen oder E-Mails an externe Adressen weiterleiten. Google hat zwar die betroffene Regel entfernt, doch es ist möglich, dass ähnliche Regeln in anderen Konten existieren. IT-Administratoren sollten regelmäßig die Regeln und Einstellungen in ihren Google Workspace-Konten überprüfen und verdächtige Aktivitäten melden.

Darüber hinaus sollten betroffene Organisationen ihre Anmeldedaten zurücksetzen, insbesondere für Dienstkonten und Domänenadministratoren. Eine Passwortänderung allein reicht oft nicht aus, da Angreifer möglicherweise bereits persistente Zugriffe etabliert haben. Ein Incident-Response-Plan sollte aktiviert werden, um die Ausbreitung der Angreifer im Netzwerk zu stoppen und forensische Untersuchungen durchzuführen.

Langfristige Lehren für Cloud-Sicherheit

Dieser Vorfall wirft wichtige Fragen zur Sicherheit von Cloud-basierten Kollaborations- und Forschungsplattformen auf. REDCap ist eine weit verbreitete Lösung, die in sensiblen Umgebungen eingesetzt wird. Die Tatsache, dass Angreifer eine Hintertür in einer solchen Plattform platzieren konnten, zeigt, dass selbst etablierte Software nicht immun gegen gezielte Angriffe ist. Organisationen sollten daher nicht nur auf die Aktualität ihrer Software achten, sondern auch regelmäßige Sicherheitsaudits durchführen, um verdächtige Konfigurationen oder Dateimodifikationen zu erkennen.

Auch die Nutzung von Cloud-Diensten wie Google Workspace birgt Risiken, wenn legitime Funktionen für bösartige Zwecke umfunktioniert werden. IT-Teams müssen sich bewusst sein, dass Angreifer nicht nur nach Schwachstellen in der Software suchen, sondern auch nach Möglichkeiten, etablierte Prozesse zu missbrauchen. Eine kontinuierliche Überwachung der Konfigurationen, regelmäßige Schulungen für Mitarbeiter und die Implementierung von Multi-Faktor-Authentifizierung können helfen, solche Angriffe zu erkennen und zu verhindern.

Was als Nächstes zu beobachten ist

Google hat die Kampagne als hochgradig gefährlich eingestuft und den Angreifern den Namen UNC6508 zugeordnet. Die Gruppe ist bereits seit längerem bekannt und wurde erstmals im Februar in einem Bericht über Angriffe auf den Verteidigungssektor erwähnt. Es ist wahrscheinlich, dass weitere Details zu dieser Kampagne veröffentlicht werden, sobald die forensischen Untersuchungen abgeschlossen sind. Zudem könnten andere Cloud-Dienstanbieter ähnliche Vorfälle melden, da die genutzte Taktik nicht auf Google Workspace beschränkt ist.

Für andere staatlich unterstützte Akteure könnte diese Kampagne als Blaupause dienen, um ähnliche Angriffe auf andere Plattformen und Cloud-Dienste zu starten. Organisationen sollten daher ihre Sicherheitsmaßnahmen überprüfen und sicherstellen, dass sie gegen solche Taktiken gewappnet sind. Besonders im Fokus stehen sollten dabei Forschungsinstitute, akademische Einrichtungen und militärische Einrichtungen, die häufig Ziel solcher Angriffe sind.

Praktische Schritte für IT-Sicherheitsteams

IT-Sicherheitsteams sollten die beschriebenen Angriffsmuster als Warnung nehmen und ihre eigenen Umgebungen überprüfen. Dazu gehört die Überprüfung von REDCap-Installationen auf verdächtige Dateien, die Analyse von Google Workspace-Regeln und die Überwachung von Anmeldedaten auf ungewöhnliche Aktivitäten. Automatisierte Tools zur Erkennung von Anomalien in Cloud-Diensten können helfen, solche Angriffe frühzeitig zu erkennen.

Zudem sollten Sicherheitsteams die Mitarbeiter in den betroffenen Organisationen schulen, um das Bewusstsein für solche Angriffe zu schärfen. Besonders wichtig ist es, verdächtige E-Mails oder ungewöhnliche Weiterleitungsregeln zu melden. Eine enge Zusammenarbeit zwischen IT-Sicherheitsteams, Cloud-Administratoren und Compliance-Beauftragten kann helfen, solche Angriffe zu verhindern oder zumindest schneller zu erkennen.

Fazit: Cloud-Sicherheit erfordert neue Denkansätze

Der Angriff von UNC6508 zeigt, dass staatlich unterstützte Akteure zunehmend auf subtile und langfristige Strategien setzen, um an sensible Daten zu gelangen. Die Nutzung legitimer Tools und Funktionen macht solche Angriffe besonders schwer zu erkennen und zu verhindern. Organisationen müssen daher ihre Sicherheitsstrategien anpassen und nicht nur auf klassische Angriffsmuster achten, sondern auch verdächtige Konfigurationen und ungewöhnliche Aktivitäten in Cloud-Diensten überwachen.

Für REDCap-Nutzer und Google Workspace-Administratoren ist es jetzt entscheidend, ihre Systeme zu überprüfen und verdächtige Aktivitäten zu melden. Langfristig wird es darauf ankommen, die Sicherheit von Forschungs- und Kollaborationsplattformen zu stärken und die Mitarbeiter für solche Angriffe zu sensibilisieren. Nur so lassen sich zukünftige Vorfälle dieser Art verhindern oder zumindest frühzeitig erkennen.