Эксперты «Лаборатории Касперского» обнаружили новый вектор атаки и инструментарий для компрометации корпоративной почты в Gmail. С их помощью злоумышленники могут получать доступ к аккаунтам пользователей через API и читать переписки, а также собирать данные из календаря и других сервисов Google, оставаясь незамеченными на протяжении длительного времени. К таким выводам исследователи пришли в ходе изучения активности группы ToddyCat. Об этом CNews сообщили представители «Лаборатории Касперского».
Новый способ компрометации почты Gmail. Сторонние приложения могут запрашивать доступ к сервисам Google через API. Например, если пользователю нужно синхронизировать данные календаря на мобильном телефоне с электронной почтой. Для подтверждения требуется OAuth-токен. Чтобы получить такой токен и, соответственно, доступ к нужным ресурсам, злоумышленники разработали инструмент Umbrij. Он нацелен на Windows, однако потенциально может использоваться в атаках на пользователей других операционных систем. Инструмент может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения. Исследователи «Лаборатории Касперского» назвали эту технику Shadow Token via Remote Debug (STRD).
Данная атака возможна в браузерах на основе движка Chromium. Если пользователь не вышел из своего аккаунта в Gmail, браузер сохраняет его сессию авторизации — чем и пользуются атакующие. Они запускают экземпляр браузера, подключаются через отладочный порт и отправляют запросы к Gmail на получение доступа к ресурсам учётной записи Google — в рамках сохранённой пользовательской сессии. Таким образом, злоумышленникам не требуется вводить данные для входа.
«Электронная почта по-прежнему остается основным средством служебной переписки в компаниях, и атакующие прибегают к разным методам, чтобы её прочитать. Обнаружение Umbrij — ещё одно тому подтверждение. Инструмент позволяет злоумышленникам автоматизировать попытки получить доступ к электронной почте организаций, в результате чего растёт масштаб и частота атак. Находка также говорит о высокой мотивации и эволюции технических навыков группы ToddyCat, — сказал Андрей Гунькин, эксперт по кибербезопасности в «Лаборатории Касперского». — Для защиты от подобных угроз организациям необходимо внимательно отслеживать необычную активность. Например, запуск браузера с включённым портом отладки — нетипичное поведение для большинства пользователей, не связанных со сферой разработки веб-приложений. Также важно регулярно проводить аудит сторонних приложений и сервисов, имеющих доступ к учетным записям Google. Чтобы снизить риски, можно также рассмотреть возможность отключить инструменты разработчика в браузерах на основе Chromium для сотрудников, которым они не требуются для повседневной работы».
Поделиться
