У киберпреступников появился новый инструмент, позволяющий получать доступ к корпоративной электронной почте в Gmail. С его помощью атакующие могут читать переписку пользователей, а также получать данные из календаря и других сервисов Google через API, оставаясь незамеченными в течение длительного времени. Об этом «Газете.Ru» сообщили в пресс-службе «Лаборатории Касперского».
Исследование проводилось в рамках анализа активности хакерской группировки ToddyCat. По данным специалистов, злоумышленники используют инструмент Umbrij, который позволяет получать OAuth-токены и запрашивать доступ к ресурсам учетной записи Google, включая электронную почту, облачное хранилище и контакты. Исследователи назвали эту технику Shadow Token via Remote Debug (STRD).
Как пояснили в «Лаборатории Касперского», атака возможна в браузерах на базе Chromium. Если пользователь не вышел из своего аккаунта Gmail, браузер сохраняет сессию авторизации. Злоумышленники запускают экземпляр браузера, подключаются к нему через порт удаленной отладки и отправляют запросы на получение доступа к сервисам Google, используя уже существующую пользовательскую сессию. Благодаря этому им не требуется вводить логин и пароль жертвы.
«Электронная почта по-прежнему остается основным средством служебной переписки в компаниях, и атакующие прибегают к разным методам, чтобы ее прочитать. Обнаружение Umbrij – еще одно тому подтверждение», – сказал эксперт по кибербезопасности «Лаборатории Касперского» Андрей Гунькин.
Инструмент позволяет злоумышленникам автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растет масштаб и частота атак. Находка также говорит о высокой мотивации и эволюции технических навыков группы ToddyCat.
Для защиты от подобных атак в компании рекомендуют отслеживать нетипичную активность, в частности запуск браузеров с включенным портом удаленной отладки, регулярно проверять сторонние приложения, имеющие доступ к учетным записям Google, а также при необходимости отключать инструменты разработчика в браузерах Chromium для сотрудников, которым они не требуются для работы.
Ранее хакеры взломали партнера Apple и слили в даркнет важные документы.