Поки компанія Google розвиває Workspace через глибшу інтеграцію Gemini та надає штучному інтелекту доступ до Gmail, Календаря, Чату та Google Диска, важливість безпеки корпоративних акаунтів лише зростає. На цьому фоні Google повідомила про масштабну кампанію викрадення даних, яку здійснювало угруповання UNC6508, пов’язане з урядом Китаю. Про це йдеться у звіті Google.
Група аналізу загроз Google (GTIG) опублікувала новий звіт, в якому детально описала нещодавню діяльність UNC6508 – угруповання, що має зв’язки з Китайською Народною Республікою, яке, ймовірно, змогло скористатися зовнішніми серверами Research Electronic Data Capture (REDCap) для розгортання спеціально розробленого шкідливого ПЗ під назвою INFINITERED.
Згідно з даними Групи аналізу загроз Google, хакери понад рік залишалися непоміченими в мережах північноамериканських академічних, медичних та військових дослідницьких установ. Завдяки цьому шкідливому програмному забезпеченню вони викрадали облікові дані для входу, що дозволяло їм отримувати доступ до вмісту серверів і залишатися непоміченими протягом тривалого часу.
Після цього вони переміщувалися мережею та виводили конфіденційну інформацію, використовуючи новий метод маніпуляції правилами відповідності контенту домену. Google зазначає, що правила відповідності контенту є “легітимною функцією, доступною в багатьох хмарних корпоративних пакетах для продуктивності”.
Зловмисники, використовуючи адміністраторські акаунти, створювали спеціальні правила для обробки електронних листів, які містили певні набори слів, фраз і текстових шаблонів. Вони назвали правило «Patriot» і налаштували його так, щоб певні електронні листи пересилалися прихованою копією на Gmail-адреси, контрольовані хакерами.
Відтоді Google деактивувала Gmail-акаунти, пов’язані з цим угрупованням і цією кампанією. У блозі дослідники надали досить детальний перелік дій, які адміністраторам слід виконати, щоб захиститися від UNC6508 та подібних угруповань.
Серед них – обов’язкове використання стійкої до фішингу двофакторної автентифікації, підключення найбільш чутливих акаунтів до Advanced Protection Program, а також застосування Device Bound Session Credentials із CAA для особливо важливих акаунтів, щоб запобігти викраденню cookie-файлів.
Кампанія була націлена на різні державні та приватні медичні організації. Серед цих установ – всесвітньо відомі клінічні заклади, провідні академічні центри, військово-медичні установи Північної Америки, професійні правозахисні групи та регуляторні органи в сфері охорони здоров’я.
Їхні напрями досліджень охоплюють широкий спектр сучасної медицини – від молекулярних відкриттів і клінічних випробувань ліків до політики громадського здоров’я на рівні штатів і військової готовності. У цих організаціях працюють тисячі людей, а їхній загальний дослідницький бюджет становить мільярди доларів.
Нагадаємо, що кампанія UNC6508 проти Workspace відбулася на фоні активного розширення можливостей ШІ Google у корпоративних сервісах. У липні 2025 року Google відкрила користувачам Workspace доступ до Gems у документах, таблицях та Gmail – персоналізованих версій Gemini AI, які функціонують як міні-агенти або спеціалізовані помічники. Користувачі можуть самостійно створювати таких помічників або обирати готові шаблони, налаштовуючи стиль спілкування, поведінкові інструкції та завдання. Шаблонні Gems вже призначені для редагування тексту, написання коду, генерації ідей для продажів та інших робочих сценаріїв.
Цей випадок ще раз підкреслює, наскільки важливо постійно вдосконалювати захист даних у корпоративних сервісах, особливо коли йдеться про такі масштабні платформи, як Google Workspace. Безпека має бути пріоритетом.
Ця атака нагадує, наскільки важливо постійно оновлювати заходи безпеки, особливо в корпоративних сервісах. Сподіваюся, Google швидко впровадить додаткові захисти, щоб уникнути подібних інцидентів у майбутньому.
Абсолютно згоден. Регулярне оновлення безпеки та проактивний моніторинг – ключ до захисту корпоративних даних. Сподіваємося, Google посилить захист і запобігатиме подібним загрозам у майбутньому.