Dvejus metus Kinijos šnipai siurbė mokslinių tyrimų laiškus per funkciją, kurią „Google" sukūrė apsaugai

Jei jūsų įmonė naudoja „Google Workspace" paštui, tikriausiai manote, kad laiškų saugumą užtikrina slaptažodžiai, dviejų faktorių autentifikacija ir šifravimas. Tačiau yra vienas kelias, kurio beveik niekas netikrina — ir būtent juo Kinijos kibernetinio šnipinėjimo grupė daugiau nei metus siurbė mokslinių tyrimų ir gynybos sektoriaus susirašinėjimą. Jokio kenkėjiško kodo pašto serveryje. Jokio neįprasto tinklo srauto. Tiesiog įjungta funkcija, kurią „Google" sukūrė tam, kad administratoriai galėtų filtruoti jautrią informaciją.

„Google" grėsmių analizės grupė (GTIG) šią savaitę paskelbė ataskaitą apie kampaniją, kurią vykdė jų sekamas klasteris UNC6508 — su didele tikimybe susietas su Kinija. Ataka palietė kelias organizacijas JAV ir Kanadoje: klinikines įstaigas, akademinius centrus, karinės sveikatos institucijas, advokatų grupes ir sveikatos reguliavimo tarnybas. „Google" pranešė nukentėjusiems ir sutrikdė užpuolikų infrastruktūrą, tačiau pats įsilaužimo mechanizmas kelia klausimų, į kuriuos verta įsižiūrėti kiekvienam, kas administruoja debesijos pašto sistemas.

Kaip jie pateko: durys, kurių niekas neužrakino

Įėjimo tašku tapo REDCap („Research Electronic Data Capture") — žiniatinklio platforma, kurią ligoninės ir universitetai naudoja tyrimų duomenų bazėms kurti. UNC6508 sukompromitavo išorėje pasiekiamus REDCap serverius. „Google" kol kas tiksliai neįvardijo, kaip užpuolikai pateko pirmą kartą — ar per konkrečią pažeidžiamumą (CVE), ar per kitą vektorių — tačiau matė, kad grupė tikrino senesnes, pažeidžiamas versijas.

Praėjus maždaug trims mėnesiams po patekimo, grupė įdiegė specialiai sukurtą kenkėjišką programą, kurią GTIG pavadino INFINITERED. Ji trojanizuoja pačios REDCap sistemos failus ir atlieka tris dalykus: renka prisijungimo duomenis iš duomenų bazių ir tarnybinių paskyrų, vykdo vidinę žvalgybą tinkle ir ruošia kelią tolesniam judėjimui.

Pirmoji žinoma kompromitacija datuojama 2023 metų rugsėju. Veikla tęsėsi iki 2025 metų lapkričio — daugiau nei dvejus metus. Turėdami administratoriaus teises, užpuolikai perėjo prie antrojo etapo — ir štai čia prasideda tai, kas šią kampaniją daro išskirtine.

Įrankis, kuris jau buvo po ranka

Užuot diegę atskirą kenkėjišką programą pašto serveriui, UNC6508 pasinaudojo turinio atitikties taisyklėmis (angl. content compliance rules) — teisėta „Google Workspace" administratoriaus funkcija, skirta tikrinti laiškus pagal raktinius žodžius ir prireikus kopijuoti ar persiųsti juos. Panašios funkcijos egzistuoja ir kitose debesijos pašto sistemose.

Grupė sukūrė taisyklę, pavadintą su klaida „Patroit" (vietoj „Patriot"), kuri stebėjo beveik 150 raktinių žodžių, paieškos terminų ir el. pašto adresų. Kai laiškas atitikdavo filtrą, „Workspace" tyliai pridėdavo jį kaip nematomą kopiją (BCC) ir siųsdavo į užpuolikų kontroliuojamą „Gmail" adresą. „Google" tą paskyrą jau išjungė.

MITRE jau seniai kataloguoja el. pašto persiuntimo taisyklių piktnaudžiavimą kaip žinomą techniką. Tačiau GTIG pabrėžia, kad domeno turinio atitikties taisyklių panaudojimas šnipinėjimui yra naujas — bent jau iš Kinijai priskiriamos grupės jie tokio iki šiol nebuvo matę.

Ką tai reiškia paprastam administratoriui

Istorijos esmė ne tik apie Kinijos šnipus. Ji apie aklą zoną, kuri egzistuoja beveik kiekvienoje organizacijoje, naudojančioje debesijos paštą. Turinio atitikties taisyklės yra galingas įrankis — jos gali blokuoti jautrių duomenų nutekėjimą, bet gali ir tapti idealiu šnipinėjimo kanalu, jei administratoriaus paskyra patenka į netinkamas rankas.

„Google" rekomenduoja organizacijoms reguliariai peržiūrėti visas aktyvias turinio atitikties taisykles, ypač tas, kurios persiunčia laiškus į išorinius adresus. Taip pat verta įjungti įspėjimus apie taisyklių pakeitimus — UNC6508 atveju taisyklė veikė mėnesius, kol buvo pastebėta.

Ne pirmas kartas, bet metodas — naujas

Kinijos kibernetinio šnipinėjimo kampanijos prieš mokslinių tyrimų ir sveikatos sektorių nėra naujiena. 2024 metais JAV Sveikatos ir žmogiškųjų paslaugų departamentas perspėjo, kad Kinijai priskiriamos grupės taikosi į ligoninių tinklus ir tyrimų centrus, siekdamos pavogti intelektinę nuosavybę. 2025 metų pradžioje „Google" pati pirmą kartą paviešino UNC6508 veiklą platesnėje ataskaitoje apie valstybines atakas prieš gynybos sektorių.

Tačiau ši kampanija išsiskiria ne taikiniais, o metodu. Turinio atitikties taisyklės yra tarsi nematomas vamzdis — jos nepalieka pėdsakų, kurių ieško įprastos saugumo sistemos. Antivirusinė programa nieko nemato, nes nėra kenkėjiško failo. Tinklo stebėjimo sistema nieko nefiksuoja, nes srautas eina per teisėtus „Google" serverius. Vienintelis būdas aptikti tokią ataką — rankiniu būdu peržiūrėti administratoriaus nustatymus.

Kampanija taip pat primena, kad mokslinių tyrimų infrastruktūra — REDCap, laboratorijų duomenų bazės, akademiniai tinklai — yra prioritetinis šnipinėjimo taikinys. Ne todėl, kad ten slypi karinės paslaptys, o todėl, kad ten kaupiama informacija, kurios neturi niekas kitas: dar nepublikuoti tyrimai, klinikiniai duomenys, vakcinų kūrimo eiga.

Kas toliau

„Google" teigia, kad sutrikdė UNC6508 infrastruktūrą ir pranešė nukentėjusioms organizacijoms. Tačiau pats metodas niekur nedingo — turinio atitikties taisyklės tebėra kiekvienoje „Workspace" instaliacijoje, o jų auditas nėra automatinis. Tikėtina, kad kitos grupės jau studijuoja šią ataskaitą ne kaip perspėjimą, o kaip pamoką.

Organizacijoms, ypač dirbančioms su jautriais tyrimais ar gynybos kontraktais, ši istorija turėtų tapti signalu peržiūrėti ne tik pašto apsaugą, bet ir tai, kas turi administratoriaus raktus. Nes kai užpuolikas tampa administratoriumi, jūsų pašto sistema tampa jo pašto sistema — ir jis gali nustatyti taisykles, kurių niekas nepastebės.