Китайских хакеров обвинили в крупномасштабных атаках на исследовательские центры США и Канады

Аналитики Google вскрыли шпионскую операцию, длившуюся более года против научных центров США и Канады. Хакеры выкачивали данные о военных разработках, медицине, искусственном интеллекте и беспилотниках, маскируя сбор информации под обычную работу корпоративных почтовых сервисов.

Group-аналитики из подразделения Google Threat Intelligence Group зафиксировали активность злоумышленников в период с сентября 2023 года по ноябрь 2025 года. За 26 месяцев атакующие проникли в инфраструктуру нескольких научных учреждений и наладили постоянный поток данных к себе. Объёмы скомпрометированной информации в Google оценивать не стали, однако сам факт двухлетнего необнаруженного присутствия уже говорит о высокой квалификации операторов.

Под прицелом оказались организации с серьёзным научным весом и многомиллиардными бюджетами. Среди интересов атакующих оказались следующие направления:

• военная аналитика и стратегия в Индо-Тихоокеанском регионе;
• разработки в области искусственного интеллекта и машинного обучения;
• беспилотные системы и автономные платформы;
• кибероперации и инструменты сетевой разведки;
• клинические испытания, фармакология, общественное здравоохранение.

Конкретные названия пострадавших учреждений Google не разглашает. Уточняется лишь, что речь о крупных центрах с тысячами сотрудников, занятых в том числе разработкой новых препаратов и проектами оборонного характера.

Группировку, стоящую за атаками, аналитики обозначили кодом UNC6508. Имя появилось в отчётах недавно, но почерк хорошо знаком тем, кто давно расследует кибершпионаж азиатского происхождения.

Стоит обратить внимание на формулировку заместителя главного аналитика Google Threat Intelligence Group Люка Макнамары — используемые техники во многом совпадают с инструментами и подходами, ранее наблюдавшимися в операциях, связанных с Китаем.

Целью подобных кампаний остаётся не разрушение, а сбор стратегически значимой информации.

Первые следы вторжения датируются осенью 2023 года. Точкой входа стала уязвимость в REDCap — платформе для создания опросов и исследовательских баз данных, которой пользуются университеты, медицинские центры и некоммерческие структуры по всему миру. После получения первичного доступа в сеть подгружалось специально подготовленное вредоносное ПО, заточенное под кражу действующих учётных записей REDCap. С легитимными логинами и паролями атакующие закреплялись в инфраструктуре и переходили к основной фазе операции.

Самой любопытной частью кампании оказался метод вывода данных. Вместо массового копирования файлов и шумных вторжений хакеры выстроили автоматизированный мониторинг переписки. Схема работала так:

• внутри почтовых систем создавались правила пересылки;
• система проверяла входящие и исходящие письма по словарю из почти 150 терминов;
• при совпадении сообщение копировалось на подконтрольный ящик Gmail;
• остальная корреспонденция оставалась нетронутой и не вызывала подозрений;
• администраторы сетей видели обычный почтовый трафик без аномалий.

Словарь поисковых терминов оказался показательным сам по себе. В нём собрали адреса и телефоны сотрудников, обозначения из области военной стратегии, международной политики, передовых технологий, ИИ и клинических исследований. Фактически корпоративные почтовые серверы научных центров превратились в персональный аналитический фильтр для разведки противника, автоматически отсеивающий зерно от плевел в потоке деловой переписки.

Интересно, что именно отказ от шумных приёмов и ставка на тихий контроль за почтой позволили операторам UNC6508 продержаться внутри сетей более двух лет без обнаружения.

После завершения расследования специалисты Google связались с каждой пострадавшей организацией в США и Канаде, передали технические индикаторы компрометации и рекомендации по очистке инфраструктуры. Полный список жертв не публикуется по понятным причинам — часть учреждений работает с чувствительными проектами для министерств обороны соответствующих стран.

Произошедшее обозначает заметную смену приоритетов у государственных хакерских группировок. Шифровальщики и громкие сливы постепенно уступают место долгой, кропотливой работе с почтой и облачными сервисами. Атакующих интересуют патенты, протоколы испытаний, переписка с подрядчиками, черновики научных статей и аналитические записки — всё, что через несколько лет может дать преимущество в гонке технологий.

Также ранее мы писали о том, что американские правоохранительные органы при поддержке Google и специалистов Black Lotus Labs провели операцию против платформы Outsider Enterprise, которая предоставляла киберпреступникам инструменты для проведения фишинговых атак. По данным расследования, сервис распространял готовые фишинговые комплекты, поддельные сайты и средства автоматизации атак с использованием технологий искусственного интеллекта. Предварительный ущерб от деятельности платформы оценивался в 1,9 млрд долларов, а число скомпрометированных банковских карт превысило 3,8 млн.

Эксперты редакции CISOCLUB уверены, что кейс UNC6508 станет учебным примером для специалистов по защите научной инфраструктуры на ближайшие годы. Двухлетняя незаметная работа внутри сетей крупнейших исследовательских центров — это провал не столько технических средств защиты, сколько процессов мониторинга поведения пользователей и почтовых правил.

В редакции заявили также, что аудит правил пересылки писем должен стать обязательной процедурой для любой организации, работающей с чувствительными данными. Эксперты CISOCLUB также прогнозируют рост интереса хакеров к академическому сектору — университеты и лаборатории остаются слабым звеном из-за открытой культуры обмена информацией и недостаточного финансирования служб защиты. Эксперты редакции уверены, что в ближайшие два-три года подобные операции будут массово вскрываться по всему миру, причём не только у организаций, связанных с обороной.

Эксперты CISOCLUB рекомендуют научным учреждениям пересмотреть подход к защите REDCap и аналогичных платформ, рассматривая их как потенциальный плацдарм для дальнейшего продвижения злоумышленников вглубь сети.