Google avertizează că grupul chinez UNC6508 a exploatat servere REDCap pentru a accesa conturi Workspace - atacatorii au folosit reguli de conformitate pentru a redirecționa e-mailuri și a exfiltra date din organizații medicale și de cercetare

Un grup de hackeri asociați Chinei a exploatat o funcție legitimă din Google Workspace pentru a exfiltra date sensibile și a rămâne nedetectat peste un an , vizând organizații medicale, academice și de cercetare, inclusiv din zona de apărare, potrivit TechRadar . Miza pentru companii și instituții este una operațională: atacul nu s-a bazat doar pe „malware”, ci și pe abuzul unor reguli de conformitate din suita de productivitate, ceea ce complică detectarea și răspunsul. Google Threat Intelligence Group (GTIG) descrie activitatea actorului UNC6508 , asociat Republicii Populare Chineze (PRC), care ar fi exploatat servere REDCap (Research Electronic Data Capture) expuse la internet pentru a instala un malware personalizat, numit INFINITERED. Prin acesta, atacatorii au furat credențiale de autentificare, au accesat conținutul serverelor și au rămas neobservați mai mult de un an, după care s-au deplasat lateral în rețea și au scos date folosind o tehnică bazată pe manipularea regulilor de conformitate pentru conținut. Cum a fost folosit Google Workspace ca „canal” de exfiltrare Potrivit raportului Google, atacatorii au abuzat de „content compliance rules” – reguli de conformitate pentru conținut, o funcție legitimă întâlnită în multe suite cloud pentru companii. Folosind conturi de administrator, aceștia au creat reguli care identificau mesaje pe baza unor seturi predefinite de cuvinte, expresii sau tipare de text. În cazul descris, regula a fost denumită „Patroit” și a fost configurată să trimită automat copii ascunse (BCC) ale anumitor e-mailuri către conturi Gmail controlate de atacatori. Google spune că a dezactivat conturile Gmail asociate actorului și campaniei. Cine a fost vizat și de ce contează pentru organizații Google afirmă că „campania a vizat un set divers de entități medicale naționale, de stat și private”, incluzând furnizori clinici, centre academice, instituții de sănătate militară din America de Nord, grupuri profesionale și organisme de reglementare din sănătate. „Aceste organizații […] angajează mii de oameni, cu un buget cumulat de cercetare de ordinul miliardelor de dolari.” Din perspectivă operațională, cazul arată cum compromiterea credențialelor și accesul la conturi cu privilegii (administrator) pot transforma instrumente standard de productivitate în mecanisme de scurgere de date greu de observat, mai ales când sunt folosite funcții legitime, nu doar atașamente malițioase sau linkuri evidente. Ce recomandă Google administratorilor În material, cercetătorii Google indică o listă de măsuri pentru reducerea riscului în fața UNC6508 și a unor actori similari, între care: impunerea autentificării cu doi factori rezistente la phishing (MFA – autentificare multifactor); înscrierea conturilor foarte sensibile în Advanced Protection Program; aplicarea „Device Bound Session Credentials” cu CAA pentru conturile foarte sensibile, cu scopul de a reduce riscul de furt de cookie-uri (date de sesiune folosite la autentificare). Pentru organizațiile care folosesc Google Workspace, mesajul practic este că protecția nu ține doar de filtrarea „malware”, ci și de controlul strict al conturilor de administrator și de monitorizarea/guvernanța regulilor de conformitate care pot redirecționa automat comunicații interne. [...]