В понедельник компания Google сообщила, что группа хакеров, которую она определила как имеющую связи с Китаем, тайно вторгалась и похищала данные из нескольких научно-исследовательских институтов в США и Канаде в течение более года, нацеливаясь на университеты, медицинские и военные исследовательские подразделения. Операция продолжалась с сентября 2023 года по ноябрь 2025 года. За этот период хакеры осуществляли кражу разведывательной информации в области военной разведки, военной стратегии в Индо-Тихоокеанском регионе, искусственного интеллекта, беспилотных систем, проектов кибервойны и медицинских научных исследований.
Команда Google по разведке угроз заявила в своем последнем отчете, что названия атакованных организаций не были обнародованы, но объем исследований этих подразделений варьируется от открытия лекарств и клинических испытаний до политики общественного здравоохранения и военной готовности, с участием тысяч сотрудников и совокупного бюджета научных исследований в миллиарды долларов. Google приписал это действие своей внутренней хакерской группе под номером «UNC6508», назвав ее относительно новой, но малоизвестной группой кибершпионажа. Его образ действий во многом соответствует методам и целям хакерской деятельности, которая уже много лет классифицируется как «связанная с Китаем», с упором на разведывательные данные и результаты исследований, которые, как предполагается, могут вызвать интерес китайского правительства.
Посольство Китая в Вашингтоне не сразу ответило на просьбу о комментариях. Пекин всегда отрицал проведение какой-либо незаконной хакерской деятельности или потворствование ей, а когда возникают подобные обвинения, он обычно подчеркивает, что он также является жертвой кибератак, призывая все страны решать проблемы кибербезопасности посредством диалога и сотрудничества.
Расследование Google показывает, что самые ранние известные признаки этой шпионской операции относятся к сентябрю 2023 года. В то время злоумышленники воспользовались уязвимостью безопасности на сервере, на котором запущен REDCap, для запуска вторжения. REDCap — это веб-приложение, широко используемое в некоммерческих организациях и часто используемое для создания онлайн-опросников и баз данных научных исследований и управления ими. Хакеры использовали самодельное вредоносное ПО, чтобы украсть законные учетные данные для входа в REDCap, проникнуть в целевую сеть, не вызывая регулярных предупреждений, а затем настроить автоматизированную систему для пересылки электронных писем, содержащих определенные ключевые слова и условия поиска, на контролируемую ими учетную запись Gmail для постоянного сбора конфиденциальной информации.
В отчете отмечается, что исследователи Google обнаружили, что этих ключевых слов и поисковых запросов было около 150, включая номера телефонов и адреса электронной почты нескольких сотрудников атакованной организации, а также профессиональные термины, связанные с геостратегической политикой, военной стратегией, передовыми технологиями и медицинскими исследованиями. С помощью этого механизма хакеры в течение более года могли проверять и экспортировать большое количество сообщений электронной почты, тесно связанных с вопросами обороны, технологий и медицины. REDCap не ответил на вопросы об атаках и эксплойтах.
В Google заявили, что в конечном итоге выявили ряд организаций, которые были скомпрометированы в США и Канаде, и уведомили соответствующие подразделения одно за другим, чтобы помочь им определить пути вторжения, заблокировать эксплуатируемые уязвимости системы и принять последующие защитные меры. Хотя конкретная организация-жертва и подробности потерь пока не разглашаются, этот инцидент рассматривается как еще одна долгосрочная операция по проникновению, направленная против ценных научных исследований и военной разведки, что подчеркивает продолжающийся рост рисков транснационального кибершпионажа в академической, медицинской и военной областях.