Перейти к содержанию

Хакеры нашли способ проникать в Gmail через штатный механизм Chrome


Рекомендуемые сообщения

Опубликовано

«Лаборатория Касперского» сообщила о механизме, с помощью которого злоумышленники могут через API получить доступ к корпоративной почте в Gmail, а также данным календаря и других сервисов Google. С его помощью можно также получить доступ к аккаунтам обычных пользователей, пишут «Ведомости». Механизм был обнаружен в ходе изучения активности китайской группировки ToddyCat. По словам эксперта по кибербезопасности «Лаборатории Касперского» Андрея Гунькина, подобная атака возможна в браузерах на основе движка Chromium (Google Chrome, Microsoft Edge, Opera, Brave и др.). Сторонние приложения могут запрашивать доступ к сервисам Google через API, например, если пользователю потребовалось синхронизировать данные календаря на мобильном телефоне с электронной почтой. 

Пользуясь тем, что он не вышел из своего аккаунта в Gmail, и браузер сохраняет его сессию авторизации, хакер запускает экземпляр браузера, подключается через отладочный порт и отправляет запросы к Gmail на получение доступа к ресурсам учётной записи Google в рамках этой сессии. Руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе отметил, что цели ToddyCat находятся в основном за пределами России, и к тому же объектами её атак являются преимущественно государственные учреждения, телекоммуникационные компании и военные структуры, так что обычным пользователям это не грозит. 

Также это не представляет угрозы для крупных российских организаций, большинство которых, особенно государственные структуры, не полагаются на сервисы Google. Вместе с тем, многие российские компании, даже ушедшие в контур «суверенного Рунета», продолжают использовать Google Workspace (бывший G Suite) для документооборота и корпоративной почты, что делает их потенциальными целями для злоумышленников, отметил председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. 

«Мы имеем дело не с массовой эпидемией, а с инструментом целевого шпионажа, который, судя по профилю группы ToddyCat, применяется против организаций и конкретных лиц, представляющих стратегический интерес. Главное коварство метода — он эксплуатирует не уязвимость в коде, а штатный механизм разработчика в браузерах на Chromium», — говорит эксперт. В свою очередь, руководитель направления развития продуктов кибербезопасности Cloud.ru Максим Долгинин назвал данную угрозу ограниченной, поскольку атака требует предварительной компрометации устройства, т. е. злоумышленнику необходимо изначально получить локальное исполнение кода.

В зоне прямого риска находятся пользователи, которые держат Gmail открытым в фоновой вкладке сутками, а также те, чьи устройства недостаточно защищены от первоначального заражения вредоносным ПО, например, стилерами (собирают информацию с устройств), говорит Бедеров. Он отметил, что это дорогая технология, применяемая пока только в APT-атаках (целенаправленные кибератаки, проводящиеся скрытно и в течение долгого времени), поэтому для обычных пользователей особого риска не представляет.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...