Понад рік крали дані: Google повідомила про злам Workspace китайськими хакерами

17 червня 2026 р. 02:54

17 червня 2026 р. 02:54

Поки компанія Google розширює Workspace за рахунок глибшої інтеграції Gemini й надає штучному інтелекту доступ до Gmail, Календаря, Чату та Google Диска, значення безпеки корпоративних акаунтів лише зростає. Саме на цьому тлі Google повідомила про масштабну кампанію викрадення інформації, яку здійснювало угруповання UNC6508, пов’язане з урядом Китаю. Про це Google повідомила у своєму звіті.

Google Threat Intelligence Group (GTIG) опублікувала новий звіт, у якому детально описала нещодавню діяльність UNC6508 – пов’язаного з Китайською Народною Республікою угруповання, яке, ймовірно, змогло використати зовнішньо доступні сервери Research Electronic Data Capture (REDCap), щоб розгорнути спеціально створене шкідливе ПЗ під назвою INFINITERED.

За даними Групи аналізу загроз Google, хакери понад рік залишалися непоміченими у мережах північноамериканських академічних, медичних та військових дослідницьких організацій. За допомогою цього шкідливого програмного забезпечення вони викрадали облікові дані для входу, що дозволяло їм отримувати доступ до вмісту серверів і залишатися непоміченими понад рік.

Після цього вони переміщувалися мережею та виводили конфіденційні дані, використовуючи новий метод маніпулювання правилами відповідності контенту домену. Google зазначає, що правила відповідності контенту є "легітимною функцією, наявною в багатьох хмарних корпоративних пакетах для продуктивності".

Використовуючи адміністраторські акаунти, зловмисники створювали спеціальні правила для обробки електронних листів, які містили визначені набори слів, фраз і текстових шаблонів. Вони назвали правило «Patroit» і налаштували його так, щоб певні електронні листи пересилалися прихованою копією на Gmail-адреси, контрольовані хакерами.

Відтоді Google вимкнула Gmail-акаунти, пов’язані з цим угрупованням і цією кампанією. У блозі дослідники навели доволі розширений перелік дій, які адміністраторам варто виконати, щоб захиститися від UNC6508 та схожих угруповань.

Серед них – обов’язкове використання стійкої до фішингу двофакторної автентифікації, підключення найбільш чутливих акаунтів до Advanced Protection Program, а також застосування Device Bound Session Credentials із CAA для особливо важливих акаунтів, щоб запобігти викраденню cookie-файлів.

Кампанія була спрямована проти різних державних і приватних медичних організацій. Серед цих організацій – всесвітньо відомі клінічні заклади, провідні академічні центри, військово-медичні установи Північної Америки, професійні правозахисні групи та органи регулювання у сфері охорони здоров’я.

Їхні напрями досліджень охоплюють широкий спектр сучасної медицини – від молекулярних відкриттів і клінічних випробувань ліків до політики громадського здоров’я на рівні штатів і військової готовності. У цих організаціях працюють тисячі людей, а їхній сукупний дослідницький бюджет становить мільярди доларів.

Нагадаємо, що кампанія UNC6508 проти Workspace відбулася на тлі активного розширення ШІ-можливостей Google у корпоративних сервісах. У липні 2025 року Google відкрила користувачам Workspace доступ до Gems у документах, таблицях та Gmail – персоналізованих версій Gemini AI, які працюють як міні-агенти або спеціалізовані помічники. Користувачі можуть самостійно створювати таких помічників або обирати готові шаблони, налаштовуючи стиль спілкування, поведінкові інструкції та завдання. Шаблонні Gems уже призначені для редагування тексту, написання коду, генерації ідей для продажів та інших робочих сценаріїв.

Політика