Čínski štátom sponzorovaní hackeri zo skupiny UNC6508 viac ako rok nepozorovane operovali na serveroch severoamerických akademických, lekárskych a vojenských organizácií. Útočníci zneužili bezpečnostné medzery v systémoch a pomocou legitímnej funkcie Workspace tajne presmerovali citlivé e-maily na svoje vlastné adresy. Bezpečnostný tím spoločnosti Google už poškodené Gmail účty zablokoval a vydal sériu urgentných odporúčaní pre administrátorov. Téme sa venuje TechRadar.
Experti na kybernetickú bezpečnosť varujú pred rozsiahlou a dlhodobou kampaňou, ktorá cieli na krádež citlivých dát. Viac ako rok sa čínski hackeri, pravdepodobne dotovaní štátom, nepozorovane ukrývali v serveroch, ktoré patria severoamerickým akademickým, lekárskym a vojenským výskumným organizáciám.
Počas tohto obdobia nasadzovali špeciálne upravený škodlivý softvér, vďaka ktorému kradli citlivé súbory. Špecializovaný bezpečnostný tím Google Threat Intelligence Group publikoval správu, v ktorej detailne popisuje nedávne aktivity skupiny známej ako UNC6508. Táto skupina, prepojená na Čínsku ľudovú republiku, dokázala podľa zistení zneužiť externé servery systému Research Electronic Data Capture (REDCap) na nasadenie vlastného malvéru s názvom INFINITERED.
Prostredníctvom tohto škodlivého kódu útočníci najskôr ukradli prihlasovacie údaje, čo im umožnilo získať plný prístup k obsahu serverov a potichu operovať viac ako jeden rok. Následne sa začali v rámci napadnutej siete pohybovať laterálne, teda do strán. Na samotnú krádež citlivých dát využili techniku, ktorá spočíva v priamej manipulácii s pravidlami podniku pre zhodu obsahu domény.
Zneužitie legitímnej funkcie
Google vo svojej správe vysvetľuje, že pravidlá zhody obsahu sú pritom úplne legitímnou funkciou, ktorá je bežne prítomná v mnohých cloudových balíkoch. Útočníci však zneužili de facto odcudzené administrátorské účty a vytvorili špecifické pravidlá na správu e-mailových správ. Tieto pravidlá boli nastavené tak, aby vyhľadávali e-maily, ktoré obsahovali vopred definované sady slov, fráz a špecifických textových vzorov.
Celé toto škodlivé pravidlo pomenovali ako Patroit. Jeho hlavnou úlohou bolo nepozorovane preposielať všetky e-maily (vyhovujúce kritériám) v rámci skrytej kópie (BCC) na externé Gmail adresy, ktoré mali útočníci plne pod kontrolou. Google medzičasom potvrdil, že všetky Gmail účty spojené s týmto konkrétnym útokom a touto špionážnou kampaňou okamžite zablokoval a deaktivoval.
Taktiež poskytol pomerne rozsiahly zoznam opatrení, ktoré by mali administrátori firemných sietí dodržiavať, aby sa dokázali lepšie chrániť nielen pred skupinou UNC6508, ale aj inými, podobne operujúcimi aktérmi. Medzi kľúčové odporúčania patrí nekompromisné vynucovanie dvojfaktorového overovania, ktoré je odolné voči phishingu, zaradenie vysoko citlivých účtov do pokročilého programu ochrany (Advanced Protection Program), ako aj vynucovanie prihlasovacích údajov viazaných na konkrétne fyzické zariadenie, s využitím CAA pre najcitlivejšie účty, čím sa zabráni nebezpečnej krádeži súborov cookie.
Miliardové rozpočty na výskum
Celá kampaň bola zo strany útočníkov cielená s mimoriadnou presnosťou. Google zdôraznil, že útoky zasiahli rôznorodú skupinu národných, štátnych aj súkromných zdravotníckych subjektov. Medzi tieto organizácie patria svetovo uznávaní poskytovatelia klinickej starostlivosti, popredné akademické centrá, severoamerické vojenské zdravotnícke inštitúcie, profesionálne záujmové skupiny a taktiež orgány zaoberajúce sa reguláciou v oblasti zdravotníctva.
Výskumné oblasti napadnutých inštitúcií pritom pokrývajú široké spektrum modernej medicíny, počínajúc molekulárnym výskumom a klinickými skúškami nových liekov až po tvorbu štátnej politiky v oblasti verejného zdravia a celkovú vojenskú pripravenosť.
Tieto zasiahnuté organizácie zamestnávajú tisíce ľudí a ich kombinovaný rozpočet určený na výskumné účely sa pohybuje v miliardách dolárov, čo v podstate samo osebe vysvetľuje, prečo majú v zahraničí tak obrovský záujem o tieto dáta.
