Хакери з Китаю рік пересилали секретні листи на Gmail — і ніхто цього не помічав
Понад рік група китайських хакерів тихо сиділа всередині мереж американських лікарень, університетів і військових дослідницьких центрів. Вони крали паролі, збирали файли і навчилися так пересилати чужі листи, що жоден адміністратор нічого не бачив. Google це розкрив. У TechRadar пояснили, як таке взагалі стало можливим.
Як хакери отримали доступ до даних через REDCap
- Точкою входу стала REDCap — популярна платформа для збору наукових даних.
- Університети, клініки і дослідницькі центри по всьому світу використовують її для медичних досліджень і клінічних випробувань.
- Хакери знаходили сервери REDCap, відкриті для зовнішнього доступу, і встановлювали на них власне шкідливе програмне забезпечення під назвою INFINITERED.
- Воно непомітно збирало паролі адміністраторів, після чого зловмисники отримували повний доступ до мережі й починали рухатися далі, від сервера до сервера.
Що таке правило Patroit і як воно працює
Підписуйтеся на наші соцмережі
Найхитріша частина атаки не злам, а те, що було після. Коли хакери отримували права адміністратора корпоративної електронної пошти, вони створювали спеціальне правило з назвою Patroit.
Воно автоматично пересилало листи з певними ключовими словами на підконтрольні зловмисникам адреси Gmail. Правило не видно рядовому співробітнику, бо тільки адміністратор знає, що воно взагалі існує.
Саме так хакери рік збирали чужі листи, і нікому навіть не спадало на думку перевірити налаштування пошти.
Google Threat Intelligence Group (GTIG) назвала цю групу UNC6508. За даними компанії, жертвами стали клінічні заклади, провідні університети, військові медичні установи і регулятори охорони здоров'я.
Усі вони займаються дослідженнями: від нових ліків до зброї, а їхні сукупні наукові бюджети сягають мільярдів доларів. Саме ці дані й цікавили зловмисників.
Google вже заблокував всі Gmail-акаунти, пов'язані з цією кампанією. Але хакерська атака тривала більше року, тобто все, що встигли зібрати, вже давно не повернути.
Як захиститися від хакерської атаки
Google дає кілька порад:
-
1
Увімкнути двофакторну автентифікацію, стійку до фішингу, таку, яку не можна обійти підробленою сторінкою входу.
-
2
Підключити чутливі акаунти до програми розширеного захисту Google.
-
3
Налаштувати сесії, прив'язані до конкретного пристрою, тоді вкрадені файли cookie не дадуть хакерам зайти з іншого комп'ютера.
Атаки на медичну інфраструктуру не виняток. Про те, що кількість інцидентів у медичних закладах росте і в Україні, CERT-UA попереджав ще на початку року.
А схема UNC6508 добре показує те, про що ми писали раніше: найбільші провали в кібербезпеці трапляються не через екзотичні вразливості, а через банальні речі: забуті налаштування й неперевірені права доступу.