Зловмисники застосовували спеціалізоване програмне забезпечення та пересилали електронні листи на контрольовані акаунти.
У той час як компанія Google розширює можливості Workspace завдяки глибшій інтеграції Gemini та надає штучному інтелекту доступ до Gmail, Календаря, Чату та Google Диска, важливість безпеки корпоративних акаунтів зростає. На цьому фоні Google повідомила про масштабну операцію з викрадення даних, яку здійснювало угруповання UNC6508, що має зв’язки з урядом Китаю. Цю інформацію Google оприлюднила у своєму звіті.
Група аналізу загроз Google (GTIG) опублікувала новий звіт, у якому детально розглянула нещодавню діяльність UNC6508 – угруповання, пов’язаного з Китайською Народною Республікою, яке, ймовірно, змогло скористатися зовнішніми доступними серверами Research Electronic Data Capture (REDCap) для розгортання спеціально розробленого шкідливого програмного забезпечення під назвою INFINITERED.
Згідно з даними Групи аналізу загроз Google, хакери понад рік залишалися непоміченими в мережах північноамериканських академічних, медичних та військових дослідницьких установ. Завдяки цьому шкідливому програмному забезпеченню вони викрадали облікові дані для входу, що дозволяло їм отримувати доступ до вмісту серверів і залишатися непоміченими протягом тривалого часу.
Після цього вони переміщалися мережею та виводили конфіденційну інформацію, використовуючи новий метод маніпуляції правилами відповідності контенту домену. Google зазначає, що правила відповідності контенту є “легітимною функцією, яка присутня в багатьох хмарних корпоративних пакетах для продуктивності”.
Зловмисники, використовуючи адміністраторські акаунти, створювали спеціальні правила для обробки електронних листів, які містили визначені набори слів, фраз і текстових шаблонів. Вони назвали правило «Patriot» і налаштували його так, щоб певні електронні листи пересилалися прихованою копією на Gmail-адреси, контрольовані хакерами.
Відтоді Google деактивувала Gmail-акаунти, пов’язані з цим угрупованням і цією кампанією. У блозі дослідники надали досить детальний перелік дій, які адміністраторам слід виконати для захисту від UNC6508 та подібних угруповань.
Серед них – обов’язкове використання стійкої до фішингу двофакторної автентифікації, підключення найбільш чутливих акаунтів до Advanced Protection Program, а також застосування Device Bound Session Credentials із CAA для особливо важливих акаунтів, щоб запобігти викраденню cookie-файлів.
Кампанія була націлена на різні державні та приватні медичні організації. Серед цих установ – всесвітньо відомі клінічні заклади, провідні академічні центри, військово-медичні організації Північної Америки, професійні правозахисні групи та регуляторні органи у сфері охорони здоров’я.
Їхні напрями досліджень охоплюють широкий спектр сучасної медицини – від молекулярних відкриттів і клінічних випробувань ліків до політики громадського здоров’я на рівні штатів і військової готовності. У цих організаціях працюють тисячі людей, а їхній загальний дослідницький бюджет становить мільярди доларів.
Нагадаємо, що кампанія UNC6508 проти Workspace відбулася на фоні активного розширення можливостей штучного інтелекту Google у корпоративних сервісах. У липні 2025 року Google надала користувачам Workspace доступ до Gems у документах, таблицях та Gmail – персоналізованих версій Gemini AI, які функціонують як міні-агенти або спеціалізовані помічники. Користувачі можуть самостійно створювати таких помічників або обирати готові шаблони, налаштовуючи стиль спілкування, поведінкові інструкції та завдання. Шаблонні Gems вже призначені для редагування тексту, написання коду, генерації ідей для продажів та інших робочих сценаріїв.