Автор: Влад Черевко Цікавлюся різного роду електронікою і технологіями з початку 2000-х. Регулярно стежу за технологічними новинами світу і сам пишу матеріали про це.
Категорії: Кібербезпека, Google, Хакерські атаки
Компанія Googleоприлюднилазвіт про масштабну кампанію викрадення інформації, яку здійснювало угруповання UNC6508, пов’язане з урядом Китаю,передаєTechRadar. За даними Групи аналізу загроз Google (GTIG), зловмисники понад рік залишалися непоміченими в мережах північноамериканських академічних, медичних та військових дослідницьких організацій, використовуючи спеціально створене шкідливе програмне забезпечення.
Хакери змогли проникнути через зовнішні сервери Research Electronic Data Capture (REDCap), де розгорнули спеціальне ПЗ під назвою INFINITERED. Завдяки йому вони викрадали облікові дані користувачів і отримували доступ до внутрішніх систем. Після цього зловмисники переміщувалися мережею, використовуючи нову техніку маніпуляції правилами відповідності доменного контенту для прихованого виведення конфіденційних даних.
Google пояснила, що ці правила є легітимною функцією багатьох корпоративних хмарних сервісів. У даному випадку атакуючі створили спеціальне правило під назвою Patroit, яке автоматично пересилало певні електронні листи на контрольовані ними Gmail-акаунти. Це дозволило їм систематично отримувати інформацію, не викликаючи підозр у адміністраторів.
Компанія вже заблокувала Gmail-акаунти, які використовувалися зловмисниками. Крім того, компанія надала адміністраторам рекомендації щодо захисту від подібних атак. Серед них — застосування двофакторної автентифікації, стійкої до фішингу, реєстрація найбільш чутливих акаунтів у програмі Advanced Protection, а також використання Device Bound Session Credentials для запобігання викраденню cookie-файлів.
