MAG-INFO-TECH.com — Digital news in real time
AI Trading
साइबर सिक्योरिटी और प्राइवेसी

चीनी हैकरों ने गूगल वर्कस्पेस नियमों का दुरुपयोग कर अनुसंधान और रक्षा ईमेल चुराए

द्वारा Mag-Info Tech editorial · 2026-06-16

चीनी हैकरों ने गूगल वर्कस्पेस नियमों का दुरुपयोग कर अनुसंधान और रक्षा ईमेल चुराए

चीनी राज्य-समर्थित हैकिंग समूह UNC6508 ने उत्तर अमेरिका में चिकित्सा, शिक्षा और सैन्य अनुसंधान नेटवर्क को लक्षित कर एक लंबी अवधि तक घुसपैठ की। इस अभियान में हैकर्स ने REDCap अनुसंधान प्लेटफार्म पर बैकडोर स्थापित किया, जिससे उन्होंने लॉगिन क्रेडेंशियल्स चुराए। इसके बाद उन्होंने गूगल वर्कस्पेस के अंतर्निहित सामग्री अनुपालन नियमों का दुरुपयोग किया, जो मूल रूप से ईमेल स्कैनिंग और मिलान वाले संदेशों को कॉपी या फॉरवर्ड करने के लिए होते हैं। इस तरह उन्होंने संवेदनशील अनुसंधान और रक्षा संबंधी ईमेलों को अपने नियंत्रण वाले जीमेल पते पर बीसीसी के माध्यम से चुराया। यह अभियान सितंबर 2023 से शुरू हुआ और नवंबर 2025 तक जारी रहा, जिसमें हैकर्स ने अपने लक्ष्यों के नेटवर्क में गहराई से घुसपैठ की और डोमेन एडमिनिस्ट्रेटर तक पहुंच बनाई। इस हमले से जुड़े तकनीकी विवरण, प्रभावित संगठनों की संख्या और ठोस समयरेखा पर अभी भी स्पष्टता का अभाव है, लेकिन यह साफ है कि इस तरह के हमले भविष्य में भी जारी रह सकते हैं।

REDCap: अनुसंधान सर्वरों पर हुआ हमला

REDCap एक वेब-आधारित प्लेटफार्म है जिसका उपयोग मुख्य रूप से अस्पतालों, विश्वविद्यालयों और अनुसंधान संस्थानों द्वारा अध्ययन डेटाबेस बनाने और प्रबंधित करने के लिए किया जाता है। यह प्लेटफार्म स्वास्थ्य सेवा और शिक्षा क्षेत्र में व्यापक रूप से इस्तेमाल होता है, खासकर उन संस्थानों में जहां नैदानिक परीक्षण, सर्वेक्षण और डेटा संग्रह किया जाता है। UNC6508 ने REDCap सर्वरों को निशाना बनाया, जो अक्सर बाहरी उपयोगकर्ताओं के लिए खुले रहते हैं, जिससे उन्हें आरंभिक पहुंच मिली। हालांकि, इस हैकिंग समूह ने किस विशिष्ट कमजोरी या CVE का उपयोग किया, इसका खुलासा नहीं किया गया है, लेकिन माना जाता है कि उन्होंने पुराने और असुरक्षित संस्करणों का फायदा उठाया। REDCap सर्वरों पर बैकडोर डालने के बाद, हैकर्स ने इन सर्वरों के भीतर ही INFINITERED नामक मालवेयर स्थापित किया, जो REDCap की सिस्टम फाइलों को संक्रमित करता है। इस मालवेयर ने तीन मुख्य कार्य किए: आंतरिक reconnaissance, क्रेडेंशियल्स की खोज और प्रशासनिक पहुंच प्राप्त करना। इससे हैकर्स को न केवल डेटाबेस तक पहुंच मिली, बल्कि उन्होंने सेवा खातों के क्रेडेंशियल्स भी प्राप्त किए, जिनका उपयोग कर वे आंतरिक नेटवर्क में आगे बढ़ सके।

इस तरह के हमले REDCap जैसे प्लेटफार्मों की सुरक्षा कमजोरियों पर प्रकाश डालते हैं, जिन पर अक्सर सुरक्षा उपायों की कमी होती है क्योंकि उनका उपयोग मुख्य रूप से अनुसंधान और डेटा संग्रह के लिए किया जाता है। REDCap प्रशासकों को चाहिए कि वे अपने सर्वरों को नियमित रूप से अपडेट करें, बाहरी पहुंच को प्रतिबंधित करें और मजबूत प्रमाणीकरण विधियों का उपयोग करें। इसके अलावा, ऐसे प्लेटफार्मों पर नजर रखने वाले संगठनों को अपने कर्मचारियों को सुरक्षा जागरूकता प्रशिक्षण देने की आवश्यकता है, ताकि वे संभावित फिशिंग हमलों और सोशल इंजीनियरिंग प्रयासों को पहचान सकें।

INFINITERED: मालवेयर जिसने REDCap को संक्रमित किया

INFINITERED मालवेयर वह टूल था जिसने REDCap सर्वरों पर हैकर्स की पहुंच को और मजबूत किया। यह मालवेयर REDCap की अपनी सिस्टम फाइलों को संक्रमित करता है, जिससे हैकर्स को सर्वर के भीतर ही छिपने और अपनी गतिविधियों को जारी रखने में मदद मिलती है। INFINITERED ने तीन प्रमुख कार्य किए: सबसे पहले, हैकर्स ने आंतरिक reconnaissance किया, यानी उन्होंने नेटवर्क के भीतर उपलब्ध संसाधनों, उपयोगकर्ताओं और सेवाओं की खोज की। दूसरा, उन्होंने क्रेडेंशियल्स की खोज की, जिसमें डेटाबेस लॉगिन, सेवा खाता पासवर्ड और अन्य संवेदनशील जानकारी शामिल थी। तीसरा, उन्होंने प्रशासनिक पहुंच प्राप्त की, जो उन्हें नेटवर्क के भीतर और भी गहराई तक जाने और डोमेन एडमिनिस्ट्रेटर तक पहुंच बनाने में सक्षम बनाती थी।

developer typing code laptop

इस मालवेयर की खासियत यह है कि यह REDCap के भीतर ही छिपा रहता है, जिससे पारंपरिक एंटीवायरस सॉफ्टवेयर के लिए इसे पहचानना मुश्किल हो जाता है। इसके अलावा, चूंकि यह मालवेयर REDCap की अपनी फाइलों को संक्रमित करता है, इसलिए इसे हटाना भी चुनौतीपूर्ण हो सकता है। संगठनों को चाहिए कि वे अपने REDCap सर्वरों की नियमित रूप से निगरानी करें और किसी भी असामान्य गतिविधि की तुरंत जांच करें। इसके अलावा, उन्हें अपने सर्वरों को अपडेट रखना चाहिए और मालवेयर का पता लगाने के लिए उन्नत सुरक्षा उपकरणों का उपयोग करना चाहिए।

गूगल वर्कस्पेस नियमों का दुरुपयोग: सामग्री अनुपालन नियमों का शोषण

जहां REDCap और INFINITERED ने हैकर्स को आरंभिक पहुंच और आंतरिक नेटवर्क में गहराई तक जाने में मदद की, वहीं गूगल वर्कस्पेस के सामग्री अनुपालन नियमों ने उन्हें संवेदनशील ईमेलों को चुराने का एक असामान्य तरीका प्रदान किया। सामग्री अनुपालन नियम मूल रूप से ईमेल स्कैनिंग और मिलान वाले संदेशों को कॉपी या फॉरवर्ड करने के लिए होते हैं, ताकि संगठन अपने कर्मचारियों के संचार पर नजर रख सकें और आवश्यकतानुसार कार्रवाई कर सकें। UNC6508 ने इन नियमों का दुरुपयोग करते हुए एक ऐसा नियम बनाया, जिसमें लगभग 150 कीवर्ड, खोज शब्द और ईमेल पतों की सूची शामिल थी। जब भी कोई ईमेल इनमें से किसी भी कीवर्ड या ईमेल पते से मेल खाता था, तो गूगल वर्कस्पेस स्वचालित रूप से उस संदेश को एक विशेष जीमेल पते पर बीसीसी के माध्यम से कॉपी कर देता था, जो हैकर्स के नियंत्रण में था।

इस तकनीक का उपयोग करना काफी चतुर था, क्योंकि यह पूरी तरह से वैध सुविधाओं पर निर्भर करता था और इसके लिए किसी अतिरिक्त मालवेयर या अनधिकृत पहुंच की आवश्यकता नहीं थी। इसके अलावा, चूंकि यह प्रक्रिया पृष्ठभूमि में स्वचालित रूप से होती थी, इसलिए पीड़ितों को इसका पता भी नहीं चला। गूगल ने बाद में इस जीमेल पते को निष्क्रिय कर दिया, लेकिन इससे पहले हैकर्स ने काफी संवेदनशील जानकारी चुरा ली होगी। इस तरह के हमलों से बचने के लिए संगठनों को चाहिए कि वे अपने गूगल वर्कस्पेस के प्रशासनिक नियमों की नियमित रूप से समीक्षा करें और किसी भी असामान्य नियम का पता लगाने पर तुरंत कार्रवाई करें। इसके अलावा, उन्हें अपने कर्मचारियों को सुरक्षा जागरूकता प्रशिक्षण देने की आवश्यकता है, ताकि वे ऐसी चालों को पहचान सकें।

प्रभावित संगठन: चिकित्सा, शिक्षा और रक्षा क्षेत्र

Ad
MEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade result
ट्रेडिंग एक जुआ नहीं है। जुआ खेलना बंद करें।

MEFAI के AI से वास्तविक परिणाम प्राप्त करें। Pro प्लान पर $50 की छूट पाएं।

Pro पर $50 की छूट का दावा करें

प्रायोजित · पिछला प्रदर्शन भविष्य के परिणामों का संकेत नहीं है। यह वित्तीय सलाह नहीं है।

इस अभियान में UNC6508 ने मुख्य रूप से उत्तर अमेरिका में स्थित चिकित्सा, शिक्षा और रक्षा क्षेत्र के संगठनों को निशाना बनाया। प्रभावित संगठनों में नैदानिक प्रदाता, शैक्षणिक केंद्र, सैन्य स्वास्थ्य संस्थान, वकालत समूह और स्वास्थ्य नियामक शामिल थे। इन संगठनों में संवेदनशील अनुसंधान डेटा, रक्षा संबंधी जानकारी और व्यक्तिगत स्वास्थ्य रिकॉर्ड जैसे महत्वपूर्ण संसाधन होते हैं, जिनका उपयोग हैकर्स द्वारा लंबे समय तक गुप्त रूप से किया जा सकता है। हालांकि, गूगल ने इनमें से किसी भी संगठन का नाम सार्वजनिक नहीं किया है, लेकिन यह स्पष्ट है कि इस तरह के हमले राष्ट्रीय सुरक्षा और व्यक्तिगत गोपनीयता के लिए गंभीर खतरा पैदा करते हैं।

server room data center

इस अभियान से प्रभावित संगठनों को चाहिए कि वे अपने नेटवर्क की व्यापक सुरक्षा ऑडिट करें और किसी भी संभावित समझौते की जांच करें। उन्हें अपने कर्मचारियों को सुरक्षा प्रशिक्षण देने की आवश्यकता है, ताकि वे संभावित फिशिंग हमलों और सोशल इंजीनियरिंग प्रयासों को पहचान सकें। इसके अलावा, उन्हें अपने डेटा बैकअप और आपदा पुनर्प्राप्ति योजनाओं को अपडेट रखना चाहिए, ताकि किसी भी संभावित डेटा हानि से निपटा जा सके। सरकारी और गैर-सरकारी संगठनों को भी इस तरह के हमलों के खिलाफ मिलकर काम करना चाहिए, ताकि राष्ट्रीय सुरक्षा को मजबूत किया जा सके।

तकनीकी विवरण: हमले की समयरेखा और विधि

इस अभियान की शुरुआत सितंबर 2023 में हुई थी, और यह नवंबर 2025 तक जारी रहा। हैकर्स ने REDCap सर्वरों पर बैकडोर स्थापित किया, जिससे उन्होंने लॉगिन क्रेडेंशियल्स चुराए। लगभग तीन महीने बाद, उन्होंने INFINITERED मालवेयर को तैनात किया, जिसने REDCap की सिस्टम फाइलों को संक्रमित किया। इसके बाद, हैकर्स ने आंतरिक reconnaissance किया और क्रेडेंशियल्स की खोज की, जिससे उन्हें सेवा खातों के लॉगिन मिले। इन क्रेडेंशियल्स का उपयोग कर वे आंतरिक नेटवर्क में आगे बढ़े और अंततः डोमेन एडमिनिस्ट्रेटर तक पहुंच बना ली।

इसके बाद, हैकर्स ने गूगल वर्कस्पेस के सामग्री अनुपालन नियमों का दुरुपयोग किया। उन्होंने लगभग 150 कीवर्ड और ईमेल पतों की सूची बनाई, जिसे वे नियमित रूप से स्कैन करना चाहते थे। जब भी कोई ईमेल इनमें से किसी भी कीवर्ड या ईमेल पते से मेल खाता था, तो गूगल वर्कस्पेस स्वचालित रूप से उस संदेश को हैकर्स के नियंत्रण वाले जीमेल पते पर बीसीसी के माध्यम से कॉपी कर देता था। इस प्रक्रिया में किसी भी अतिरिक्त मालवेयर या अनधिकृत पहुंच की आवश्यकता नहीं थी, जिससे यह हमला और भी खतरनाक हो गया।

smartphone app screen

भविष्य के खतरे और बचाव के उपाय

इस तरह के हमले भविष्य में भी जारी रह सकते हैं, खासकर जब राज्य-समर्थित हैकिंग समूह नवीन तरीकों की तलाश में रहते हैं। REDCap जैसे प्लेटफार्मों और गूगल वर्कस्पेस जैसे क्लाउड सेवाओं का व्यापक उपयोग हैकर्स के लिए नए अवसर पैदा करता है। संगठनों को चाहिए कि वे अपने सुरक्षा उपायों को लगातार अपडेट करें और नवीनतम खतरों से अवगत रहें। इसके अलावा, उन्हें अपने कर्मचारियों को नियमित सुरक्षा प्रशिक्षण देने की आवश्यकता है, ताकि वे संभावित खतरों को पहचान सकें और उनसे बच सकें।

REDCap प्रशासकों को चाहिए कि वे अपने सर्वरों को नियमित रूप से अपडेट करें, बाहरी पहुंच को प्रतिबंधित करें और मजबूत प्रमाणीकरण विधियों का उपयोग करें। गूगल वर्कस्पेस उपयोगकर्ताओं को चाहिए कि वे अपने प्रशासनिक नियमों की नियमित रूप से समीक्षा करें और किसी भी असामान्य नियम का पता लगाने पर तुरंत कार्रवाई करें। इसके अलावा, संगठनों को अपने नेटवर्क की व्यापक सुरक्षा ऑडिट करनी चाहिए और किसी भी संभावित समझौते की जांच करनी चाहिए। सरकारी और गैर-सरकारी संगठनों को भी मिलकर काम करना चाहिए, ताकि राष्ट्रीय सुरक्षा को मजबूत किया जा सके और इस तरह के हमलों के खिलाफ प्रभावी रक्षा तंत्र विकसित किया जा सके।

निष्कर्ष

चीनी राज्य-समर्थित हैकिंग समूह UNC6508 द्वारा किए गए इस अभियान ने दिखाया है कि राज्य-समर्थित साइबर हमले कितने परिष्कृत और खतरनाक हो सकते हैं। REDCap सर्वरों पर बैकडोर डालकर और गूगल वर्कस्पेस के नियमों का दुरुपयोग कर हैकर्स ने संवेदनशील अनुसंधान और रक्षा ईमेलों को चुराया। इस तरह के हमले भविष्य में भी जारी रह सकते हैं, इसलिए संगठनों को अपने सुरक्षा उपायों को लगातार अपडेट करना चाहिए और अपने कर्मचारियों को सुरक्षा जागरूकता प्रशिक्षण देना चाहिए। सरकारी और गैर-सरकारी संगठनों को भी मिलकर काम करना चाहिए, ताकि राष्ट्रीय सुरक्षा को मजबूत किया जा सके और इस तरह के हमलों के खिलाफ प्रभावी रक्षा तंत्र विकसित किया जा सके।

इसमें और देखें साइबर सिक्योरिटी और प्राइवेसी

Rokarolla: नया एंड्रॉयड बैंकिंग ट्रोजन 217 बैंकिंग व क्रिप्टो ऐप्स को निशाना बना रहा
Cybersecurity & Privacy

Rokarolla: नया एंड्रॉयड बैंकिंग ट्रोजन 217 बैंकिंग व क्रिप्टो ऐप्स को निशाना बना रहा

Rokarolla नामक नया एंड्रॉयड मैलवेयर 217 बैंकिंग एवं क्रिप्टो ऐप्स पर हमला कर रहा है। जानिए यह कैसे काम करता है, किस तरह फैलाया जा रहा है और इससे खुद को कैसे बचाएं।

2026-06-17Read →
स्टीम वर्कशॉप में मालवेयर फैला रहा Wallpaper Engine: कैसे सुरक्षित रहें और क्या करें
Cybersecurity & Privacy

स्टीम वर्कशॉप में मालवेयर फैला रहा Wallpaper Engine: कैसे सुरक्षित रहें और क्या करें

स्टीम वर्कशॉप पर अपलोड किए गए मालवेयर युक्त वॉलपेपर पैकेज Wallpaper Engine के माध्यम से फैल रहे हैं, जिससे उपयोगकर्ताओं के सिस्टम और स्टीम अकाउंट खतरे में हैं। जानिए इस खतरे की पूरी जानकारी और सुरक्षा

2026-06-17Read →
ClickFix अभियानों का नया खतरा: बाबाडेडा, लोरेम इप्सम और पोटेमकिन लोडर्स से सावधान
Cybersecurity & Privacy

ClickFix अभियानों का नया खतरा: बाबाडेडा, लोरेम इप्सम और पोटेमकिन लोडर्स से सावधान

ClickFix सोशल इंजीनियरिंग के जरिए मालवेयर लोडर्स बाबाडेडा, लोरेम इप्सम और पोटेमकिन पहुंचा रहा है, जो शिक्षा, वित्तीय संगठनों और अन्य क्षेत्रों को निशाना बना रहे हैं। जानिए कैसे ये नए लोडर्स पारंपरिक स

2026-06-17Read →