Риски в безопасности
В «Лаборатории Касперского» выяснили, что ИТ-уязвимость несет угрозу для частных фирм с точки зрения конфиденциальности, пишут «Ведомости». Хакеры могут использовать сохраненную сессию авторизации пользователя и отправлять запросы к Gmail через отладочный порт браузера.
В июне 2026 г. «Лаборатория Касперского» обнаружила механизм, с помощью которого злоумышленники могут через API получать несанкционированный доступ к корпоративной почте Gmail. Атакующие способны незаметно читать переписку, а также собирать данные из календаря и других сервисов Google. К таким выводам пришли исследователи компании в ходе анализа активности китайской кибергруппировки ToddyCat, по оценке специалистов, потенциально данный метод может быть использован и для получения доступа к аккаунтам обычных пользователей.
Сторонние приложения могут запрашивать доступ к сервисам Google через API. Например, для синхронизации данных календаря на мобильном устройстве с электронной почтой, пояснил эксперт по кибербезопасности «Лаборатории Касперского» Андрей Гунькин. По его словам, описанная атака возможна в браузерах, основанных на движке Chromium (Google Chrome, Microsoft Edge, Opera, Brave и других). Хакеры используют тот факт, что пользователь не вышел из аккаунта Gmail, и браузер сохраняет активную сессию авторизации, предупреждал CNews. Атакующие запускают экземпляр браузера, подключаются к нему через отладочный порт и отправляют запросы к сервисам Google от имени пользователя в рамках существующей сессии.
Потенциальные жертвы
Согласно исследованию Strategy Partners, по состоянию на август 2025 г. электронной почтой в России пользовались около 105 млн человек. При этом, по данным аналитического подразделения Т-Банка T-Data на май 2026 г., самым популярным почтовым доменом остается Gmail — его используют 38,9% россиян. Таким образом, потенциально под угрозой атаки могут оказаться около 40,8 млн пользователей, подсчитали «Ведомости».
Руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе отметил, что группировка ToddyCat преимущественно атакует государственные учреждения, телекоммуникационные компании и военные структуры. По его словам, основные цели хакеров находятся за пределами России, поэтому для рядовых граждан данная группировка на текущий момент не представляет существенной угрозы. «Даже если их фокус сместится на Россию, целями все равно останутся крупные организации, а не случайные пользователи», — подчеркнул эксперт.
Риски есть
Вместе с тем, по словам Аскера Джамирзе, данная ИТ-угроза имеет низкую актуальность для крупных российских организаций. Большинство из них, особенно государственные структуры, не используют сервисы Google для ведения внутренних процессов. Эксперт уточнил, что этот вектор кибератаки представляет наибольшую опасность для небольших компаний, а также для частных лиц, которые используют Gmail по соображениям конфиденциальности.
Многие российские компании, даже перешедшие в контур «суверенного рунета», продолжают использовать Google Workspace (бывший G Suite) для документооборота и корпоративной почты, отметил председатель Совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. По его словам, компрометация API-сессии даёт злоумышленникам доступ не только к переписке, но и к корпоративному календарю. Это позволяет атакующим анализировать график встреч топ-менеджеров, изучать повестку совещаний и встраиваться в деловую коммуникацию компании.
Ограниченная ИТ-угроза
Руководитель направления развития продуктов кибербезопасности Cloud.ru Максим Долгинин отмечает, что данная угроза носит ограниченный характер, поскольку для её реализации требуется предварительная компрометация устройства жертвы — наличие локального исполнения кода. Однако в случае, если злоумышленнику уже удалось проникнуть на устройство, он получает полный контроль над браузером, включая все активные сессии в Gmail, Outlook и других сервисах. При этом многофакторная аутентификация полностью обходится, так как сессия пользователя уже авторизована.
По словам Долгинина, потенциальная аудитория для проведения подобной атаки исчисляется десятками миллионов пользователей. Вместе с тем оценить реальное количество аккаунтов, содержащих критически важную информацию, достаточно сложно, отметил Аскер Джамирзе. Для нанесения существенного ущерба злоумышленникам требуется доступ к важной корпоративной или личной переписке, которой у большинства рядовых пользователей, как правило, не имеется.
«Мы имеем дело не с массовой эпидемией, а с инструментом целевого шпионажа, который, судя по профилю группы ToddyCat, применяется против организаций и конкретных лиц, представляющих стратегический интерес. Главное коварство метода заключается в том, что он эксплуатирует не уязвимость в коде, а штатный механизм браузеров на базе Chromium», — отметил Игорь Бедеров.
В зоне прямого риска, по словам Игоря Бедерова, находятся пользователи, которые держат Gmail открытым в фоновой вкладке браузера в течение длительного времени, а также владельцы устройств с недостаточным уровнем защиты от первоначального заражения вредоносным ПО, в частности стилерами. Хотя потенциально атака может быть направлена на миллионы аккаунтов, это высокотехнологичный и дорогостоящий метод, который на данный момент применяется исключительно в рамках APT-атак (целенаправленных и длительных кибератак), резюмировал эксперт.
Поделиться
