آنتی ویروس پادویش خرید طلا از میلادزر

حمله سایبری چینی‌ ها با سوءاستفاده از قوانین گوگل ورک‌اسپیس؛ سرقت ایمیل‌های تحقیقاتی و دفاعی

حمله سایبری چینی‌ها با سوءاستفاده از قوانین گوگل ورک‌اسپیس؛ سرقت ایمیل‌های تحقیقاتی و دفاعی

به گزارش زوم تک، گروه جاسوسی وابسته به چین با نفوذ به شبکه‌های تحقیقاتی پزشکی، دانشگاهی و نظامی در آمریکای شمالی، بیش از یک سال به سرقت ایمیل‌های حساس تحقیقاتی و دفاعی پرداخته است. این گروه که با نام UNC6508 شناسایی شده، با بهره‌برداری از یک درب پشتی در سرورهای REDCap، اطلاعات ورود کاربران را دزدیده و با سوءاستفاده از قوانین گوگل ورک‌اسپیس، تمامی ایمیل‌های حاوی کلمات کلیدی مدنظر را به صندوق پستی تحت کنترل خود کپی کرده است. گروه تهدیدات سایبری گوگل (GTIG) در گزارشی که این هفته منتشر شد، با اطمینان بالا این عملیات را به UNC6508 نسبت داده و جزئیات فنی آن را تشریح کرده است.

کانال بله زوم تکگیفت کارت

نحوه حمله سایبری از طریق سرورهای REDCap

نقطه ورود این حملات، پلتفرم REDCap (مخفف Electronic Data Capture) بوده که بیمارستان‌ها و دانشگاه‌ها از آن برای مدیریت پایگاه‌های داده تحقیقاتی استفاده می‌کنند. گروه UNC6508 با هدف قرار دادن سرورهای REDCap که به صورت عمومی در دسترس بودند، موفق به نفوذ به سیستم‌های قربانیان شد. اگرچه گوگل هنوز بردار دقیق نفوذ اولیه و شماره آسیب‌پذیری خاص (CVE) مورد استفاده را مشخص نکرده، اما محققان مشاهده کرده‌اند که این گروه در حال شناسایی نسخه‌های قدیمی و آسیب‌پذیر این نرم‌افزار بوده‌اند. قدیمی‌ترین مورد شناسایی شده به سپتامبر ۲۰۲۳ بازمی‌گردد و فعالیت‌های این گروه تا نوامبر ۲۰۲۵ ادامه داشته است. پس از نفوذ به سرور، مهاجمان با انجام عملیات شناسایی داخلی و کشف اعتبارنامه‌ها، موفق به دسترسی به پایگاه داده و حساب‌های خدماتی شده و سپس با حرکت در شبکه داخلی، نهایتاً به سطح دسترسی مدیر دامنه (Domain Admin) دست یافتند.

بدافزار INFINITERED؛ ابزار چندمنظوره جاسوسی

حدود سه ماه پس از نفوذ اولیه، گروه مهاجم بدافزار سفارشی‌سازی شده‌ای را به نام INFINITERED پیاده‌سازی کرد که فایل‌های سیستمی REDCap را آلوده می‌ساخت. این بدافزار سه عملکرد کلیدی دارد: نخست، فرآیند به‌روزرسانی نرم‌افزار را ربوده و با هر نسخه جدید، کد مخرب خود را دوباره تزریق می‌کند. دوم، نام‌کاربری و رمزهای عبور را از صفحه ورود جمع‌آوری کرده و آنها را به صورت رمزگذاری شده در جداول پایگاه داده محلی ذخیره می‌نماید. سوم، به عنوان یک درب پشتی عمل کرده و از طریق کوکی‌های HTTP دستورات را دریافت و در هر بار بارگذاری صفحه اجرا می‌کند. این بدافزار با تروجان‌سازی فایل‌های سیستمی اصلی REDCap، عملاً امکان پاک‌سازی کامل آن را برای تیم‌های دفاعی دشوار می‌ساخت.

سوءاستفاده از قوانین گوگل ورک‌اسپیس برای سرقت ایمیل

نحوه خروج اطلاعات در این عملیات، نقطه عطف و غیرمعمول این حمله محسوب می‌شود. مهاجمان به جای استفاده از بدافزار جداگانه در سرور ایمیل یا ایجاد ترافیک شبکه مشکوک، از قابلیت قانونی گوگل ورک‌اسپیس به نام «قوانین انطباق محتوا» (Content Compliance Rules) سوءاستفاده کردند. این ویژگی که برای اسکن ایمیل‌ها بر اساس کلمات کلیدی و کپی یا ارسال مجدد آنها طراحی شده، به مهاجمان اجازه می‌داد تا ایمیل‌های حاوی نزدیک به ۱۵۰ کلمه کلیدی، عبارت جستجو و آدرس‌های ایمیل خاص را به صورت مخفیانه (با استفاده از گزینه BCC) به یک آدرس جیمیل تحت کنترل خود ارسال کنند. گوگل اعلام کرده که این حساب جیمیل را غیرفعال کرده است، اما نکته قابل توجه اینکه این روش، که در چارچوب MITRE به عنوان تاکتیک شناخته شده‌ای ثبت شده، برای اولین بار توسط یک گروه مرتبط با چین به این شکل (از طریق قوانین انطباق محتوای دامنه) مشاهده شده است.

اولویت‌های جاسوسی؛ از سیاست نظامی تا بیماری‌های واگیردار

کلمات کلیدی استفاده شده در این قانون جاسوسی، اولویت‌های جمع‌آوری اطلاعات گروه UNC6508 را به خوبی نشان می‌دهد. این عبارات شامل حوزه‌های سیاست ژئواستراتژیک، استراتژی و تجهیزات نظامی، فناوری‌های پیشرفته از جمله هوش مصنوعی و وسایل نقلیه بدون سرنشین، برنامه‌های سایبری تهاجمی و همچنین تحقیقات پزشکی بود. یکی از عبارات عجیب و بسیار خاص، کلمه «چیکونگونیا» (بیماری ویروسی منتقله از پشه) بود که اشاره به شیوع این بیماری در استان گوانگدونگ چین در سال ۲۰۲۵ دارد. این موضوع نشان می‌دهد که مهاجمان به دنبال رهگیری هرگونه اطلاعات مرتبط با پژوهش‌های پزشکی و همه‌گیری‌های احتمالی نیز بوده‌اند. گوگل با اطلاع‌رسانی به قربانیان، زیرساخت‌های این گروه را مختل کرده است، اما هشدارهای امنیتی مهمی برای سازمان‌ها صادر کرده است.

اقدامات دفاعی ضروری برای سازمان‌ها

گوگل در گزارش خود توصیه‌های امنیتی مشخصی را برای مقابله با این تهدید ارائه کرده است. اولین اقدام، پچ‌سازی سرورهای REDCap در معرض اینترنت و حذف کامل نسخه‌های قدیمی این نرم‌افزار است، چراکه REDCap امکان اجرای نسخه‌های قدیمی را به صورت هم‌زمان فراهم می‌کند و این ویژگی، حملات بازگشت به نسخه آسیب‌پذیر (Downgrade Attack) را تسهیل می‌سازد. در بخش ایمیل نیز سازمان‌ها باید قوانین انطباق محتوا و ارسال مجدد ایمیل در گوگل ورک‌اسپیس یا سرویس‌های مشابه را به دقت بررسی کرده و لاگ‌های مدیریتی مربوط به تغییرات قوانین را بازبینی نمایند. همچنین استفاده از احراز هویت چندعاملی مقاوم در برابر فیشینگ برای حساب‌های مدیران، از الزامات اساسی محسوب می‌شود، چرا که کل عملیات سرقت ایمیل بر پایه دسترسی مدیران اجرا شده است. گوگل همچنین شاخص‌های شناسایی (Indicators of Compromise) منتشر شده خود را برای جستجوی بدافزار INFINITERED در اختیار سازمان‌ها قرار داده است.

به این پست امتیاز بدید

نظرات در مورد : حمله سایبری چینی‌ ها با سوءاستفاده از قوانین گوگل ورک‌اسپیس؛ سرقت ایمیل‌های تحقیقاتی و دفاعی

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *