به گزارش زوم تک، گروه جاسوسی وابسته به چین با نفوذ به شبکههای تحقیقاتی پزشکی، دانشگاهی و نظامی در آمریکای شمالی، بیش از یک سال به سرقت ایمیلهای حساس تحقیقاتی و دفاعی پرداخته است. این گروه که با نام UNC6508 شناسایی شده، با بهرهبرداری از یک درب پشتی در سرورهای REDCap، اطلاعات ورود کاربران را دزدیده و با سوءاستفاده از قوانین گوگل ورکاسپیس، تمامی ایمیلهای حاوی کلمات کلیدی مدنظر را به صندوق پستی تحت کنترل خود کپی کرده است. گروه تهدیدات سایبری گوگل (GTIG) در گزارشی که این هفته منتشر شد، با اطمینان بالا این عملیات را به UNC6508 نسبت داده و جزئیات فنی آن را تشریح کرده است.
نحوه حمله سایبری از طریق سرورهای REDCap
نقطه ورود این حملات، پلتفرم REDCap (مخفف Electronic Data Capture) بوده که بیمارستانها و دانشگاهها از آن برای مدیریت پایگاههای داده تحقیقاتی استفاده میکنند. گروه UNC6508 با هدف قرار دادن سرورهای REDCap که به صورت عمومی در دسترس بودند، موفق به نفوذ به سیستمهای قربانیان شد. اگرچه گوگل هنوز بردار دقیق نفوذ اولیه و شماره آسیبپذیری خاص (CVE) مورد استفاده را مشخص نکرده، اما محققان مشاهده کردهاند که این گروه در حال شناسایی نسخههای قدیمی و آسیبپذیر این نرمافزار بودهاند. قدیمیترین مورد شناسایی شده به سپتامبر ۲۰۲۳ بازمیگردد و فعالیتهای این گروه تا نوامبر ۲۰۲۵ ادامه داشته است. پس از نفوذ به سرور، مهاجمان با انجام عملیات شناسایی داخلی و کشف اعتبارنامهها، موفق به دسترسی به پایگاه داده و حسابهای خدماتی شده و سپس با حرکت در شبکه داخلی، نهایتاً به سطح دسترسی مدیر دامنه (Domain Admin) دست یافتند.
بدافزار INFINITERED؛ ابزار چندمنظوره جاسوسی
حدود سه ماه پس از نفوذ اولیه، گروه مهاجم بدافزار سفارشیسازی شدهای را به نام INFINITERED پیادهسازی کرد که فایلهای سیستمی REDCap را آلوده میساخت. این بدافزار سه عملکرد کلیدی دارد: نخست، فرآیند بهروزرسانی نرمافزار را ربوده و با هر نسخه جدید، کد مخرب خود را دوباره تزریق میکند. دوم، نامکاربری و رمزهای عبور را از صفحه ورود جمعآوری کرده و آنها را به صورت رمزگذاری شده در جداول پایگاه داده محلی ذخیره مینماید. سوم، به عنوان یک درب پشتی عمل کرده و از طریق کوکیهای HTTP دستورات را دریافت و در هر بار بارگذاری صفحه اجرا میکند. این بدافزار با تروجانسازی فایلهای سیستمی اصلی REDCap، عملاً امکان پاکسازی کامل آن را برای تیمهای دفاعی دشوار میساخت.
سوءاستفاده از قوانین گوگل ورکاسپیس برای سرقت ایمیل
نحوه خروج اطلاعات در این عملیات، نقطه عطف و غیرمعمول این حمله محسوب میشود. مهاجمان به جای استفاده از بدافزار جداگانه در سرور ایمیل یا ایجاد ترافیک شبکه مشکوک، از قابلیت قانونی گوگل ورکاسپیس به نام «قوانین انطباق محتوا» (Content Compliance Rules) سوءاستفاده کردند. این ویژگی که برای اسکن ایمیلها بر اساس کلمات کلیدی و کپی یا ارسال مجدد آنها طراحی شده، به مهاجمان اجازه میداد تا ایمیلهای حاوی نزدیک به ۱۵۰ کلمه کلیدی، عبارت جستجو و آدرسهای ایمیل خاص را به صورت مخفیانه (با استفاده از گزینه BCC) به یک آدرس جیمیل تحت کنترل خود ارسال کنند. گوگل اعلام کرده که این حساب جیمیل را غیرفعال کرده است، اما نکته قابل توجه اینکه این روش، که در چارچوب MITRE به عنوان تاکتیک شناخته شدهای ثبت شده، برای اولین بار توسط یک گروه مرتبط با چین به این شکل (از طریق قوانین انطباق محتوای دامنه) مشاهده شده است.
اولویتهای جاسوسی؛ از سیاست نظامی تا بیماریهای واگیردار
کلمات کلیدی استفاده شده در این قانون جاسوسی، اولویتهای جمعآوری اطلاعات گروه UNC6508 را به خوبی نشان میدهد. این عبارات شامل حوزههای سیاست ژئواستراتژیک، استراتژی و تجهیزات نظامی، فناوریهای پیشرفته از جمله هوش مصنوعی و وسایل نقلیه بدون سرنشین، برنامههای سایبری تهاجمی و همچنین تحقیقات پزشکی بود. یکی از عبارات عجیب و بسیار خاص، کلمه «چیکونگونیا» (بیماری ویروسی منتقله از پشه) بود که اشاره به شیوع این بیماری در استان گوانگدونگ چین در سال ۲۰۲۵ دارد. این موضوع نشان میدهد که مهاجمان به دنبال رهگیری هرگونه اطلاعات مرتبط با پژوهشهای پزشکی و همهگیریهای احتمالی نیز بودهاند. گوگل با اطلاعرسانی به قربانیان، زیرساختهای این گروه را مختل کرده است، اما هشدارهای امنیتی مهمی برای سازمانها صادر کرده است.
اقدامات دفاعی ضروری برای سازمانها
گوگل در گزارش خود توصیههای امنیتی مشخصی را برای مقابله با این تهدید ارائه کرده است. اولین اقدام، پچسازی سرورهای REDCap در معرض اینترنت و حذف کامل نسخههای قدیمی این نرمافزار است، چراکه REDCap امکان اجرای نسخههای قدیمی را به صورت همزمان فراهم میکند و این ویژگی، حملات بازگشت به نسخه آسیبپذیر (Downgrade Attack) را تسهیل میسازد. در بخش ایمیل نیز سازمانها باید قوانین انطباق محتوا و ارسال مجدد ایمیل در گوگل ورکاسپیس یا سرویسهای مشابه را به دقت بررسی کرده و لاگهای مدیریتی مربوط به تغییرات قوانین را بازبینی نمایند. همچنین استفاده از احراز هویت چندعاملی مقاوم در برابر فیشینگ برای حسابهای مدیران، از الزامات اساسی محسوب میشود، چرا که کل عملیات سرقت ایمیل بر پایه دسترسی مدیران اجرا شده است. گوگل همچنین شاخصهای شناسایی (Indicators of Compromise) منتشر شده خود را برای جستجوی بدافزار INFINITERED در اختیار سازمانها قرار داده است.





نظرات در مورد : حمله سایبری چینی ها با سوءاستفاده از قوانین گوگل ورکاسپیس؛ سرقت ایمیلهای تحقیقاتی و دفاعی