商傳媒|康語柔/綜合外電報導

Google Security Operations(前身為 Google's Threat Intelligence Group)近期揭露一項長期且隱匿的網路間諜行動,該行動與中國相關,鎖定北美洲的學術、醫療及軍事研究機構,竊取敏感的研究資訊。

這些受害組織遍布北美洲,包含國家級、州立與私人醫療實體、學術中心、軍事醫療機構、專業倡議團體以及健康監管單位。這些機構擁有數千名員工,總研究預算高達數十億美元,其敏感研究和國防相關資訊成為駭客鎖定的主要目標。

根據 Google Security Operations 的分析,駭客組織 UNC6508 最早於 2023 年 9 月就已展開入侵,並在受害環境中潛伏超過一年未被發現。駭客的入侵點是透過 REDCap(研究電子資料擷取系統),這是一種廣泛用於醫院、大學、非營利組織及研究機構的網路應用程式,用於建立和管理線上資料庫及問卷調查。

駭客利用外部開放的 RECap 伺服器漏洞,部署名為 INFINITERED 的客製化惡意軟體,藉此竊取合法的 RECap 登入憑證。一旦站穩腳跟,駭客便進行情報偵察,搜尋其他憑證,取得資料庫與服務帳戶的認證,並逐步滲透至更為敏感的內部系統。駭客還透過網頁外殼(web shell)在 RECap 應用程式內維持長期控制權。

為竊取目標組織的電子郵件,UNC6508 濫用了 Google Workspace 的一項合法管理功能——網域內容合規性規則,來靜默地將符合特定關鍵字的電子郵件複製到駭客控制的 Gmail 帳戶中。駭客使用了近 150 個關鍵字和搜尋詞彙,涵蓋目標組織人員的電話號碼和電子郵件地址,以及與軍事策略、先進技術、地緣戰略政策和醫療研究相關的術語。