Peretas Tiongkok Menyalahgunakan Aturan Google Workspace untuk Mencuri Email Penelitian dan Pertahanan

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Sebuah kelompok spionase yang terkait dengan Tiongkok bersembunyi di dalam jaringan penelitian medis, akademis, dan militer Amerika Utara selama lebih dari setahun, diam-diam…

Sebuah kelompok spionase yang terkait dengan Tiongkok bersembunyi di dalam jaringan penelitian medis, akademis, dan militer Amerika Utara selama lebih dari setahun, diam-diam mencuri email penelitian dan pertahanan yang sensitif.

Jalan masuknya adalah pintu belakang pada server penelitian REDCap mereka yang mencuri kredensial login. Eksfiltrasi adalah bagian yang tidak biasa: para penyerang menghubungkan kembali aturan Google Workspace milik korban untuk menyalin pesan apa pun yang cocok dengan kata kunci mereka ke kotak masuk yang mereka kendalikan.

Aktor dan pintu belakang REDCap-nya bukanlah nama baru; Google pertama kali memperkenalkan keduanya pada bulan Februari, dalam laporan yang lebih luas mengenai serangan yang didukung negara terhadap sektor pertahanan. Laporan tersebut tidak menyebutkan nama para korban, dan menggambarkan mereka hanya sebagai beberapa organisasi di AS dan Kanada: penyedia layanan klinis, pusat akademik, lembaga kesehatan militer, kelompok advokasi, dan regulator kesehatan.

Eksfiltrasi merupakan fitur yang sudah ada. UNC6508 menyalahgunakan aturan kepatuhan konten, yaitu fitur admin Google Workspace sah yang memindai email untuk mencari kata kunci dan dapat menyalin atau meneruskan pesan yang cocok.

Fitur serupa ada di rangkaian email cloud lainnya. Grup tersebut membuat aturan, salah mengeja "Patroit", yang mengawasi hampir 150 kata kunci, istilah pencarian, dan alamat email. Ketika sebuah pesan cocok, Workspace secara diam-diam mengirimkan pesan tersebut ke alamat Gmail yang dikendalikan penyerang, yang kemudian dinonaktifkan oleh Google. Tidak ada malware di server email, tidak ada alat eksfiltrasi terpisah, tidak ada lalu lintas jaringan yang tidak biasa. Hanya fitur email bawaan, yang berfungsi untuk menyalin rahasia organisasi ke kotak masuk milik penyerang.

Kata kunci peraturan tersebut dipetakan ke dalam prioritas pengumpulan UNC6508: kebijakan geo-strategis, strategi dan peralatan militer, teknologi canggih termasuk AI dan kendaraan tanpa awak, program siber ofensif, dan penelitian medis. Salah satu istilah yang menonjol karena kekhususannya adalah chikungunya, virus yang ditularkan oleh nyamuk yang menyebabkan wabah pada tahun 2025 di provinsi Guangdong, Tiongkok.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com