گزارش جدید گروه هوش تهدید گوگل (GTIG) نشان میدهد یک گروه جاسوسی سایبری منتسب به چین با سوءاستفاده از گوگل ورکاسپیس(Google Workspace) توانسته است برای بیش از یک سال به ایمیلهای حساس در شبکههای تحقیقاتی پزشکی، دانشگاهی و دفاعی در آمریکای شمالی دسترسی پنهانی داشته باشد. این کمپین پیچیده سوءاستفاده از گوگل ورکاسپیس، پس از نفوذ اولیه به سرورهای تحقیقاتی، از قابلیتهای مدیریتی این پلتفرم برای کپی و انتقال مخفیانه پیامهای حساس استفاده کرده است؛ روشی که نشاندهنده سطح بالای تطبیقپذیری مهاجمان در سوءاستفاده از سرویسهای سازمانی است.
بر اساس این گزارش، این عملیات به یک گروه با شناسه UNC6508 نسبت داده شده و اهداف آن شامل سازمانهای پزشکی، مراکز دانشگاهی و نهادهای مرتبط با تحقیقات دفاعی در ایالات متحده و کانادا بوده است.
نفوذ اولیه از طریق سرورهای REDCap
مهاجمان برای ورود به شبکههای هدف از پلتفرم REDCap (ثبت و مدیریت دادههای تحقیقاتی) استفاده کردند؛ یک سامانه تحت وب که توسط دانشگاهها و مراکز درمانی برای ایجاد و مدیریت پایگاههای داده پژوهشی به کار میرود.
گروه UNC6508 موفق شد سرورهای REDCap در معرض اینترنت را هدف قرار داده و به آنها نفوذ کند. اگرچه گوگل هنوز بردار دسترسی اولیه یا یک آسیبپذیری مشخص مانند CVE را بهصورت قطعی تأیید نکرده است، اما شواهد نشان میدهد مهاجمان در حال اسکن و بررسی نسخههای قدیمی و آسیبپذیر این پلتفرم بودهاند.
حدود سه ماه پس از نفوذ اولیه، یک بدافزار سفارشی با نام INFINITERED روی سرورها مستقر شد. این بدافزار با تروجانیزهکردن فایلهای سیستمی REDCap چند قابلیت کلیدی را فعال میکرد:
- دستکاری فرآیند بهروزرسانی بهگونهای که پس از هر ارتقا (upgrade)، کد مخرب دوباره تزریق (reinjection) شود و حذف نگردد.
- سرقت نامهای کاربری و رمزهای عبور از صفحه ورود و ذخیرهسازی آنها بهصورت رمزگذاریشده در پایگاه داده لوکال
- ایجاد یک بکدور که از طریق کوکیهای HTTP فرمان دریافت کرده و در هر بار بارگذاری صفحه اجرا میشود.
نخستین ردپای شناساییشده این نفوذ به سپتامبر 2023 بازمیگردد و فعالیت این گروه دستکم تا نوامبر 2025 ادامه داشته است. مهاجمان پس از اطمینان از پایداری دسترسی، اقدام به شناسایی شبکه داخلی و استخراج اعتبارنامهها کردند و در نهایت موفق به افزایش دسترسی به سطح ادمین (Administrator) دامنه شدند. گوگل جزئیات دقیقی از مسیر دستیابی به آن حساب ادمین ارائه نکرده است. با این حال، پس از کسب دسترسیهای سطح ادمین این گروه توانست مکانیزم استخراج دادهها را راهاندازی کند.
سوءاستفاده از گوگل ورکاسپیس برای استخراج مخفیانه ایمیلها
پس از دستیابی به دسترسی ادمین مهاجمان وارد مرحله اصلی عملیات یعنی سوءاستفاده از گوگل ورکاسپیس برای استخراج پنهانی ایمیلهای حساس شدند.
در این مرحله، آنها از یک قابلیت کاملاً قانونی در گوگل ورکاسپیس به نام قوانین تطبیق محتوا یا به عبارتیContent Compliance Rules استفاده کردند. این قابلیت به ادمینهای سیستم اجازه میدهد ایمیلها را بر اساس کلمات کلیدی (keywords) اسکن کرده و در صورت تطابق، آنها را کپی یا ارسال خودکار (Forward) کنند.
مهاجمان با ایجاد یک قانون سفارشی با نام Patroit سازوکاری تعریف کردند که حدود 150 کلمه کلیدی و آدرس ایمیل حساس را بهطور مداوم نظارت میکرد. بهمحض اینکه یک پیام با این الگوها تطابق پیدا میکرد، نسخهای از آن بهصورت کاملاً مخفیانه و از طریق قابلیت کپی مخفی (Blind Carbon Copy – BCC) به یک حساب جیمیل تحت کنترل مهاجمان ارسال میشد؛ حسابی که گوگل در ادامه آن را شناسایی و غیرفعال کرد.
در این روش:
- هیچ بدافزاری روی سرور ایمیل نصب نشده بود.
- ابزار جداگانهای برای استخراج داده استفاده نشد.
- ترافیک غیرعادی شبکه قابل مشاهده نبود.
در واقع، مهاجمان تنها با تغییر پیکربندی ادمین، جریان ایمیلهای حساس سازمانی را به سمت خود منحرف کردند؛ روشی بسیار مؤثر از «سوءاستفاده از گوگل ورکاسپیس» که شناسایی آن برای تیمهای امنیتی بسیار دشوار است.
دامنه اطلاعات هدف در عملیات سوءاستفاده از گوگل ورکاسپیس
در چارچوب تحلیلهای فنی، MITRE این تکنیک را پیشتر تحت عنوان سوءاستفاده از قوانین ارسال خودکار ایمیل (email-forwarding rule abuse) و زیرمجموعه T1114.003 ثبت کرده است. با این حال، نکتهای که تیم گوگل بر آن تاکید میکند، استفاده مهاجمان از قوانین تطبیق محتوای دامنه (domain content compliance) برای اجرای این تکنیک است؛ به گفته گوگل، چنین رویکردی پیش از این در میان عوامل تهدید منتسب به چین مشاهده نشده بود و بنابراین میتواند نمونهای جدید از سوءاستفاده از قابلیتهای بومی سرویسهای ابری (Cloud‑Native Feature Abuse) برای استخراج مخفیانه دادهها محسوب شود.
کلیدواژههایی که در این قانون ایمیلی تعریف شده بودند، بهخوبی نشان میدهند مهاجمان دقیقاً به دنبال چه نوع دادهها و اطلاعاتی بودهاند. این مجموعه از کلیدواژهها عمدتاً بر حوزههای حساس و راهبردی متمرکز بوده است، از جمله:
- سیاستهای ژئواستراتژیک (geo-strategic) و موضوعات مرتبط با امنیت بینالملل
- راهبردهای نظامی و تجهیزات دفاعی
- فناوریهای پیشرفته از جمله هوش مصنوعی و سامانههای بدون اپراتور انسانی (Uncrewed / Unmanned Systems)
- برنامههای سایبری تهاجمی
- تحقیقات پزشکی حساس و دادههای مرتبط با سلامت
این ترکیب نشان میدهد تمرکز عملیات صرفاً محدود به یک حوزه نبوده، بلکه مهاجمان یک الگوی گسترده جمعآوری اطلاعات را دنبال میکردند.
در میان این کلیدواژهها، بهطور خاص اصطلاح Chikungunya (چیکونگونیا) قابلتوجه است. چیکونگونیا نام ویروسی است که از طریق پشه منتقل میشود و در سال 2025 عامل شیوع بیماری در استان گوانگدونگ چین بوده است.
وجود این واژه در لیست هدفگذاری نشان میدهد مهاجمان علاوه بر حوزههای نظامی و فناوری، احتمالاً به دنبال دادههای مرتبط با اپیدمیولوژی (epidemiology)، تحقیقات بیماریهای واگیردار و وضعیت سلامت عمومی نیز بودهاند؛ موضوعی که دامنه عملیات سوءاستفاده از گوگل ورکاسپیس را فراتر از جاسوسی نظامی و سایبری گسترش میدهد.
اقدامات پیشنهادی
کارشناسان گوگل مجموعهای از اقدامات کلیدی را برای کاهش ریسک چنین حملاتی توصیه میکنند.
در گام نخست، سازمانها باید سرورهای REDCap متصل به اینترنت را فوراً پچ کرده و نسخههای قدیمی را بهطور کامل حذف کنند. این پلتفرم امکان اجرای همزمان نسخههای قدیمی و جدید را فراهم میکند؛ موضوعی که در صورت مدیریت نادرست میتواند زمینهساز حملات دانگرید (downgrade attacks) شود، جایی که مهاجم سیستم را به یک نسخه قدیمی و دارای آسیبپذیری شناختهشده بازمیگرداند.
در گام بعدی، تیمهای امنیتی باید تنظیمات مرتبط با ایمیل را با دقت بررسی کنند. هرگونه قانون Content Compliance (تطبیق محتوا) یا Mail Forwarding (ارسال خودکار ایمیل) که پیامها را به آدرسهای خارجی منتقل میکند یا از طریق BCC نسخهای از آنها را کپی میکند، باید بهطور دقیق بازبینی و ارزیابی امنیتی شود.
همچنین اقدامات زیر بهعنوان حداقل الزامات امنیتی توصیه میشود:
- بررسی کامل لاگهای ممیزی ادمین (Admin Audit Logs) برای شناسایی هرگونه تغییر در قوانین ایمیل و زمان اعمال این تغییرات.
- جستوجوی شاخصهای نفوذ (IOCs) منتشرشده توسط GTIG برای شناسایی و ردیابی بدافزار INFINITERE
- فعالسازی و اجباریسازی احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ برای تمامی حسابهای مدیریتی
یک قابلیت قانونی که به ابزار جاسوسی تبدیل شد
گوگل همچنان بهطور دقیق مشخص نکرده است که UNC6508 چگونه در نخستین مرحله به سرورهای REDCap دسترسی پیدا کرده است. با این حال، نکته کلیدی این کمپین نه صرفاً نقطه ورود، بلکه نحوه سوءاستفاده از قابلیتهای بومی سرویسهای ابری است.
در این عملیات، مهاجمان پس از دستیابی به دسترسی ادمین توانستند یک قابلیت کاملاً قانونی و طراحیشده برای افزایش امنیت ایمیل را به یک مسیر پنهان استخراج داده تبدیل کنند. سوءاستفاده از گوگل ورکاسپیس نشان میدهد که حتی قابلیتها و پیکربندیهای استاندارد و مجاز در سرویسهای ابری، در صورت وجود دسترسی ادمین، میتوانند به ابزارهایی قدرتمند برای جاسوسی سایبری تبدیل شوند
