Google Workspace – китайські кіберзлочинці здійснювали крадіжку даних через Gmail – новини технологій.
Зловмисники застосовували спеціалізоване програмне забезпечення та пересилали електронні листи на контрольовані акаунти.
У той час як компанія Google розширює можливості Workspace завдяки глибшій інтеграції Gemini та надає штучному інтелекту доступ до Gmail, Календаря, Чату та Google Диска, важливість безпеки корпоративних акаунтів зростає. На цьому фоні Google повідомила про масштабну кампанію викрадення даних, яку здійснювало угруповання UNC6508, пов’язане з урядом Китаю. Про це йдеться у звіті Google.
Група аналізу загроз Google (GTIG) опублікувала новий звіт, в якому детально описала нещодавню діяльність UNC6508 – угруповання, що має зв’язки з Китайською Народною Республікою, яке, ймовірно, змогло скористатися зовнішньо доступними серверами Research Electronic Data Capture (REDCap) для розгортання спеціально розробленого шкідливого програмного забезпечення під назвою INFINITERED.
Згідно з даними Групи аналізу загроз Google, зловмисники понад рік залишалися непоміченими в мережах північноамериканських академічних, медичних та військових дослідницьких установ. Використовуючи це шкідливе програмне забезпечення, вони викрадали облікові дані для входу, що дозволяло їм отримувати доступ до вмісту серверів і залишатися непоміченими протягом тривалого часу.
Після цього вони переміщувалися мережею та виводили конфіденційні дані, застосовуючи новий метод маніпуляції правилами відповідності контенту домену. Google зазначає, що правила відповідності контенту є “легітимною функцією, доступною в багатьох хмарних корпоративних пакетах для продуктивності”.
Зловмисники, використовуючи адміністраторські акаунти, створювали спеціальні правила для обробки електронних листів, які містили визначені набори слів, фраз і текстових шаблонів. Вони назвали правило «Patriot» і налаштували його так, щоб певні електронні листи пересилалися прихованою копією на Gmail-адреси, контрольовані хакерами.
Відтоді Google деактивувала Gmail-акаунти, пов’язані з цим угрупованням і цією кампанією. У блозі дослідники навели досить розширений перелік дій, які адміністраторам слід виконати, щоб захиститися від UNC6508 та подібних угруповань.
Серед них – обов’язкове використання стійкої до фішингу двофакторної автентифікації, підключення найбільш чутливих акаунтів до Advanced Protection Program, а також застосування Device Bound Session Credentials із CAA для особливо важливих акаунтів, щоб запобігти викраденню cookie-файлів.
Кампанія була спрямована проти різних державних і приватних медичних установ. Серед цих організацій – всесвітньо відомі клінічні заклади, провідні академічні центри, військово-медичні установи Північної Америки, професійні правозахисні групи та органи регулювання у сфері охорони здоров’я.
Їхні напрями досліджень охоплюють широкий спектр сучасної медицини – від молекулярних відкриттів і клінічних випробувань ліків до політики громадського здоров’я на рівні штатів і військової готовності. У цих організаціях працюють тисячі людей, а їхній сукупний дослідницький бюджет становить мільярди доларів.
Нагадаємо, що кампанія UNC6508 проти Workspace відбулася на тлі активного розширення можливостей штучного інтелекту Google у корпоративних сервісах. У липні 2025 року Google надала користувачам Workspace доступ до Gems у документах, таблицях та Gmail – персоналізованих версій Gemini AI, які функціонують як міні-агенти або спеціалізовані помічники. Користувачі можуть самостійно створювати таких помічників або обирати готові шаблони, налаштовуючи стиль спілкування, поведінкові інструкції та завдання. Шаблонні Gems вже призначені для редагування тексту, написання коду, генерації ідей для продажів та інших робочих сценаріїв.