«Лаборатория Касперского» раскрыла способ, позволяющий злоумышленникам через API получать доступ к корпоративной почте Gmail, а также к данным календаря и другим сервисам Google. Этот метод также может быть использован для взлома аккаунтов обычных пользователей, сообщают «Ведомости». Уязвимость была выявлена в ходе анализа активности китайской хакерской группы ToddyCat.
Источник изображения: Kevin Ku/unsplash.com
Как пояснил эксперт по кибербезопасности «Лаборатории Касперского» Андрей Гунькин, такая атака возможна в браузерах, работающих на движке Chromium (Google Chrome, Microsoft Edge, Opera, Brave и других). Сторонние приложения могут запрашивать доступ к сервисам Google через API, например, когда пользователю необходимо синхронизировать календарь на телефоне с электронной почтой. Используя тот факт, что пользователь не вышел из своего аккаунта Gmail и браузер сохраняет сессию авторизации, хакер запускает экземпляр браузера, подключается через отладочный порт и отправляет запросы к Gmail для получения доступа к ресурсам учётной записи Google в рамках этой сессии.
Руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе отметил, что цели ToddyCat в основном находятся за пределами России, и объектами её атак являются преимущественно государственные учреждения, телекоммуникационные компании и военные структуры, поэтому обычным пользователям это не угрожает. Кроме того, это не представляет опасности для крупных российских организаций, большинство из которых, особенно государственные структуры, не используют сервисы Google.
В то же время многие российские компании, даже перешедшие в контур «суверенного Рунета», продолжают применять Google Workspace (ранее G Suite) для документооборота и корпоративной почты, что делает их потенциальными целями для атак, отметил председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. «Мы имеем дело не с массовой эпидемией, а с инструментом целевого шпионажа, который, судя по профилю группы ToddyCat, используется против организаций и конкретных лиц, представляющих стратегический интерес. Главное коварство метода заключается в том, что он эксплуатирует не уязвимость в коде, а штатный механизм разработчика в браузерах на Chromium», — говорит эксперт.
В свою очередь, Максим Долгинин, руководитель направления развития продуктов кибербезопасности Cloud.ru, охарактеризовал эту угрозу как ограниченную, так как для атаки требуется предварительный взлом устройства — иными словами, злоумышленник должен изначально получить возможность локального выполнения кода.
По словам Бедерова, в зоне непосредственного риска находятся пользователи, которые оставляют Gmail открытым в фоновой вкладке на протяжении нескольких дней, а также те, чьи устройства недостаточно защищены от начального заражения вредоносными программами, например стилерами (которые собирают информацию с устройств). Он отметил, что это дорогостоящая технология, применяемая пока лишь в APT-атаках (целевых кибератаках, проводимых скрытно и в течение длительного времени), поэтому для обычных пользователей она не представляет существенной опасности.