Группа шпионов, связанная с Китаем, в течение более года скрывалась в сетях медицинских, академических и военных исследований Северной Америки, тихо похищая конфиденциальные электронные письма, связанные с исследованиями и обороной. Вход в эти сети был осуществлён через уязвимость на серверах REDCap, что позволило злоумышленникам украсть учетные данные пользователей.

Особенностью атаки стало то, как злоумышленники осуществляли эксфильтрацию данных. Они перепрограммировали правила Google Workspace жертв, чтобы копировать любые сообщения, отправляемые или получаемые пользователями. Такой подход позволил им обойти традиционные системы безопасности и незаметно получать доступ к конфиденциальной информации.

Данная атака подчеркивает важность защиты и мониторинга учетных записей в облачных сервисах, таких как Google Workspace, особенно для организаций, работающих в сфере исследований и обороны. Эксперты по кибербезопасности призывают компании принимать дополнительные меры предосторожности, включая регулярные проверки безопасности и обучение сотрудников основам киберзащиты.

Кроме того, инцидент стал очередным напоминанием о том, что кибершпионаж остается актуальной угрозой для государственных и частных организаций. Хакеры, использующие сложные методы, такие как манипуляция с правилами в облачных сервисах, могут оставаться незамеченными в течение длительного времени.

В связи с этим, эксперты рекомендуют организациям пересмотреть свои стратегии безопасности и внедрить более строгие меры контроля доступа к критически важным системам. Это может включать в себя многофакторную аутентификацию, регулярное обновление паролей и мониторинг активности учетных записей для выявления подозрительных действий.

Источник новости:
The Hacker News

Читать полностью