Китайские хакеры использовали Google Workspace для кражи писем в научных и военных сетрах

Китайская хакерская группировка UNC6508 на протяжении более года скрытно проникала в исследовательские и военные сети Северной Америки, похищая конфиденциальные данные и переписку. В отличие от традиционных атак с использованием вредоносного ПО, злоумышленники действовали через легитимные инструменты Google Workspace, что позволило им оставаться незамеченными длительное время. Основным вектором атаки стали уязвимые REDCap-серверы — платформы для управления исследовательскими данными, широко используемой в больницах, университетах и военных учреждениях.

Вредоносная кампания началась в сентябре 2023 года и продолжалась как минимум до ноября 2025 года. Хакеры внедрили бэкдор в REDCap, который крал учётные данные пользователей, а затем использовали их для горизонтального перемещения по сети. Через три месяца после первоначального доступа они установили специализированный троян INFINITERED, который модифицировал системные файлы REDCap. С его помощью кибергруппировка получила доступ к учётным данным баз данных и служебных аккаунтов, а затем повысила свои привилегии до уровня доменного администратора.

Как хакеры проникли в сети через REDCap

REDCap — этоResearch Electronic Data Capture — платформа для создания и управления базами данных в медицинских и академических исследованиях. Она широко используется в университетах, больницах и военных учреждениях для сбора и хранения конфиденциальных данных, включая медицинские записи и результаты исследований. Именно это сделало её привлекательной мишенью для группировки UNC6508.

По данным анализа, группировка скомпрометировала REDCap-серверы, доступные из интернета. Начальный вектор доступа не был окончательно установлен, но исследователи предполагают, что атака могла начаться с эксплуатации уязвимостей в устаревших версиях платформы или через подбор паролей. Важно, что Google не указал конкретные уязвимости или версии ПО, которые были уязвимы, что оставляет вопрос о масштабах потенциальных атак открытым.

После проникновения хакеры провели разведку сети, выявили учётные данные пользователей и служебных аккаунтов, а затем использовали их для перемещения внутри инфраструктуры. Через три месяца после первоначального доступа они установили троян INFINITERED, который интегрировался в системные файлы REDCap. Это позволило им поддерживать постоянный доступ и расширять контроль над заражёнными системами.

Троян INFINITERED: скрытный инструмент для долговременного доступа

Троян INFINITERED, разработанный UNC6508, представляет собой специализированный инструмент, который модифицирует системные файлы REDCap. Его основная задача — обеспечение долговременного доступа к скомпрометированным системам и украденным данным. Троян не только крадёт учётные данные, но и позволяет хакером оставаться незамеченными в течение длительного времени.

После установки INFINITERED хакеры получили доступ к учётным данным баз данных и служебных аккаунтов. Это позволило им перемещаться по сети, повышая свои привилегии. В конечном итоге они получили права доменного администратора, что дало им полный контроль над инфраструктурой жертвы. С такими привилегиями они смогли настроить механизмы кражи данных через легитимные инструменты Google Workspace.

Кража данных через Google Workspace: как это работало

Основным инструментом для кражи данных стали правила Google Workspace, которые обычно используются для фильтрации и пересылки писем. Хакеры настроили правило, которое сканировало входящие и исходящие сообщения на наличие определённых ключевых слов, адресов электронной почты и других индикаторов. При совпадении сообщение автоматически пересылалось на внешний Gmail-аккаунт, контролируемый злоумышленниками.

Ошибка в написании слова «Patroit» вместо «Patriot» в названии правила указывает на то, что атака была подготовлена заранее и могла быть автоматизирована. Хакеры использовали около 150 ключевых слов и фраз для поиска релевантных писем, что позволило им целенаправленно собирать конфиденциальную информацию. Google отключил этот аккаунт после обнаружения инцидента, но до этого момента злоумышленники успели похитить значительный объём данных.

Подобные механизмы существуют и в других облачных почтовых системах, таких как Microsoft 365 и Exchange Online. Это означает, что аналогичные атаки могут быть реализованы и через другие платформы, если злоумышленники получат доступ к административным настройкам.

Какие организации пострадали и почему это важно

По данным Google, жертвами атаки стали несколько организаций в США и Канаде. В их число входят клинические учреждения, академические центры, военные медицинские институты, группы по защите интересов и регулирующие органы здравоохранения. Это указывает на то, что хакеры были нацелены на конфиденциальные данные, связанные с исследованиями, медициной и обороной.

Медицинские учреждения хранят огромные объёмы личных данных пациентов, включая медицинские истории, результаты анализов и диагнозы. Академические центры занимаются научными исследованиями, часто связанными с передовыми технологиями и военными разработками. Военные медицинские институты могут содержать данные о состоянии здоровья военнослужащих, что делает их особенно привлекательными для иностранных разведок.

Похищение таких данных может иметь серьёзные последствия, включая утечку конфиденциальной информации, нарушение безопасности пациентов и даже угрозу национальной безопасности. Кроме того, такие атаки подрывают доверие к исследовательским и медицинским учреждениям, что может негативно сказаться на их репутации и финансовом состоянии.

Как защититься от подобных атак: рекомендации для организаций

Для защиты от подобных атак организациям необходимо усилить контроль над доступом к критически важным системам, таким как REDCap. Это включает в себя регулярное обновление ПО, использование многофакторной аутентификации и ограничение доступа к системам только для необходимых пользователей. Также важно регулярно проводить аудит учётных записей и настроек безопасности.

Google Workspace и другие облачные почтовые системы предоставляют инструменты для мониторинга подозрительной активности. Администраторы должны настроить оповещения о создании новых правил пересылки, изменениях в настройках безопасности и других необычных действиях. Это позволит своевременно обнаружить и пресечь попытки злоумышленников настроить автоматическую пересылку писем.

Кроме того, организациям следует обучить сотрудников основам кибербезопасности, включая распознавание фишинговых атак и подозрительных писем. Хакеры часто используют социальную инженерию для получения доступа к учётным данным, поэтому осведомлённость сотрудников может стать важным барьером на пути злоумышленников.

Что это значит для будущего кибербезопасности

Атака UNC6508 демонстрирует, как злоумышленники могут использовать легитимные инструменты и функции облачных платформ для кражи данных. Это ставит новые вызовы перед специалистами по кибербезопасности, которые должны учитывать не только традиционные векторы атак, но и возможности использования легитимного ПО и сервисов.

Подобные атаки требуют комплексного подхода к безопасности, включая мониторинг активности пользователей, регулярные аудиты настроек безопасности и обучение сотрудников. Организации должны быть готовы к тому, что злоумышленники будут использовать всё более изощрённые методы для достижения своих целей.

В будущем можно ожидать роста атак, использующих легитимные инструменты и облачные сервисы. Это потребует от компаний и государственных учреждений усиления мер безопасности и разработки новых стратегий защиты данных. Кибербезопасность становится не только технической задачей, но и стратегическим вопросом, требующим внимания на всех уровнях управления.

Вывод: уроки атаки и что делать дальше

Атака UNC6508 стала очередным напоминанием о том, что киберугрозы постоянно эволюционируют. Хакеры используют не только вредоносное ПО, но и легитимные инструменты, чтобы оставаться незамеченными и красть конфиденциальные данные. REDCap и Google Workspace стали лишь частью сложной цепочки атак, которая началась с проникновения через уязвимые системы и закончилась кражей писем через настроенные правила.

Для организаций важно не только устранять уже обнаруженные уязвимости, но и прогнозировать новые методы атак. Регулярные обновления, мониторинг активности и обучение сотрудников — ключевые элементы защиты. В условиях растущей цифровизации и использования облачных сервисов безопасность должна стать приоритетом для всех, кто работает с конфиденциальными данными.