Google揪駭客竊美加敏感資料 點名手法與中國組織高度吻合

Google威脅情報小組（GTIG）16日發布報告指出，一個名為UNC6508的駭客組織，長期鎖定美國、加拿大的學術、醫學及軍事研究機構進行攻擊，持續時間至少1年。已知包含與國家安全相關的敏感國防情報、印太司令部作戰行動、人工智慧、無人載具系統、網路攻防專案以及醫療研究等內容都被竊取。

GTIG說明，目前已知最早的入侵行動發生在2023年9月，該組織利用管理線上資料庫、問卷的網頁軟體「REDCap」漏洞，部署了名為INFINITERED的惡意軟體，藉此竊取憑證、側錄用戶輸入的帳號密碼、並建立隱藏後門，只要遭入侵者信件中出現符合設定的關鍵字，就會被以密件副本（BCC）的形式轉寄至駭客組織持有的Gmail帳號。

GTIG指出，UNC6508設置的關鍵字與搜尋詞包含目標組織人員的電話號碼與電子信箱，以及與地緣戰略政策、軍事策略、先進科技和醫學研究等相關的詞彙。

Google進一步解釋，該手法是利用REDCap軟體允許新舊版本併行的特性進行攻擊，因此建議REDCap使用者應升級至最新版本，同時徹底移除舊版本，此外也必須定期檢查是否有未經授權的轉寄規則等等。

Google威脅情報小組副主任麥納瑪拉（Luke McNamara）表示，該組織手法與過去幾年觀察到的中國駭客活動高度吻合，主要目的都是為了蒐集中國政府感興趣的情報。

路透社報導，成為入侵漏洞的「REDCap」，以及中國駐華盛頓大使館皆未回應此事；北京方面則一如既往否認發動或縱容非法駭客活動。