A kínai hackerek feltörték a REDCap szervereket, orvosi kutatási adatokat loptak

Rejtőzködő kártevő és adathalászat

Mindeközben a hackerek egy speciális kártevőt, az Infiniteredet telepítettek, amelyet kifejezetten REDCap-rendszerek feltörésére fejlesztettek. Az eszköz három modulból áll: egy folyamatos kapcsolatot biztosító frissítőmodulból, egy bejelentkezési adathalász modulból, valamint egy hátsókapu-modulból, amely lehetővé teszi a parancsok végrehajtását, fájlok fel- és letöltését, SQL-lekérdezések futtatását, sőt, a lopott adatok törlését vagy visszakeresését is. Az adathalász modul a felhasználónév–jelszó párosokat a REDCap helyi adatbázisába menti, titkosítottan, későbbi felhasználásra.

Kifinomult adatküldés és célzott keresések

A támadók újszerűen kiaknázták a vállalati felhőszolgáltatások tartalomszűrési szabályait is: adminisztrátori jogosultság megszerzése után olyan szabályt hoztak létre, amely minden gyanús tartalmat – orvosi kutatások, csúcstechnológia, katonai vagy geopolitikai témák – azonnal továbbított egy Gmail-címre. Mindez titkos másolatként (BCC) történt, így a kiszivárgást nehezebben lehetett észrevenni. A Google azonban idővel letiltotta ezt a címet.

Védekezés és további lépések

A támadók amerikai lakossági proxykat, feltört routereket, bérelt szervereket és dedikált adatlopó-infrastruktúrát használtak, hogy nehezebb legyen nyomot találni vagy visszakövetni őket. Több amerikai és kanadai intézményt is sújtott az Infinitered, beleértve molekuláris kutatásokat, gyógyszerkísérleteket, népegészségügyi és katonai programokat is. A REDCap üzemeltetőinek ajánlott azonnal frissíteni rendszereiket, eltávolítani a régi példányokat, bevezetni a kétlépcsős azonosítást, eszközalapú jelszavas munkameneteket használni, és frissíteni a vírusirtókat, mert a kártevő azonosításához szükséges adatok már elérhetők.

2026, adrienne, www.bleepingcomputer.com alapján