Chinesische Hacker nutzen Google Workspace für Spionage

Eine mit China verbundene Spionagegruppe hat über ein Jahr lang in nordamerikanischen medizinischen, akademischen und militärischen Forschungsnetzwerken agiert. Die Angreifer nutzten eine Sicherheitsanfälligkeit in den REDCap-Forschungssystemen, um Zugang zu sensiblen E-Mails zu erhalten. Diese Angriffe zielten darauf ab, vertrauliche Informationen zu stehlen, die für die nationale Sicherheit von Bedeutung sind. Die Hacker schafften es, sich unbemerkt in die Netzwerke einzuschleusen, indem sie eine Backdoor auf den REDCap-Servern installierten. Diese Backdoor ermöglichte es ihnen, Login-Daten von Forschern und Mitarbeitern zu stehlen.

Die Angreifer konnten so auf E-Mail-Konten zugreifen, die für die Durchführung von Forschungsprojekten und militärischen Studien entscheidend waren. Ein besonders bemerkenswerter Aspekt der Angriffe war die Methode der Datenexfiltration. Die Hacker modifizierten die Google Workspace-Regeln der Opfer, um alle eingehenden und ausgehenden Nachrichten zu kopieren. Diese Technik ermöglichte es ihnen, eine große Menge an Daten zu sammeln, ohne dass die Opfer es bemerkten. Die betroffenen Institutionen umfassten sowohl akademische Einrichtungen als auch militärische Forschungsorganisationen.

Angreifer konzentrierten sich auf sensible Forschungsprojekte, die potenziell strategische Vorteile für China bieten könnten. Diese Art von Cyberangriffen stellt eine ernsthafte Bedrohung für die nationale Sicherheit dar. Die Sicherheitsbehörden in Nordamerika haben die Vorfälle als Teil eines größeren Musters von Cyberangriffen identifiziert, die von staatlich unterstützten Gruppen ausgehen. Diese Angriffe zielen häufig auf kritische Infrastrukturen und Forschungsdaten ab, die für die Entwicklung neuer Technologien von Bedeutung sind. Die Entdeckung dieser Angriffe hat zu einer verstärkten Zusammenarbeit zwischen den Sicherheitsbehörden und den betroffenen Institutionen geführt.

Die Reaktion auf diese Angriffe umfasst die Überprüfung und Verbesserung der Sicherheitsprotokolle in den betroffenen Netzwerken. Experten empfehlen, dass Organisationen ihre Systeme regelmäßig auf Schwachstellen überprüfen und sicherstellen, dass alle Mitarbeiter über die Risiken von Phishing und anderen Cyberangriffen informiert sind. Die Implementierung von mehrstufigen Authentifizierungsverfahren wird ebenfalls als notwendig erachtet. Die Vorfälle werfen Fragen zur Sicherheit von Cloud-Diensten auf, insbesondere in Bezug auf die Verwendung von Google Workspace in sensiblen Bereichen. Die Möglichkeit, dass Angreifer interne Regeln manipulieren können, um Daten zu stehlen, hat Bedenken hinsichtlich der Integrität solcher Plattformen geweckt.

Sicherheitsforscher fordern eine umfassende Überprüfung der Sicherheitsarchitektur von Cloud-Diensten. Die Vorfälle wurden von verschiedenen Sicherheitsforschungsgruppen dokumentiert, die die Techniken und Taktiken der Angreifer analysiert haben. Diese Informationen sind entscheidend, um zukünftige Angriffe zu verhindern und die Sicherheitslage in den betroffenen Sektoren zu verbessern. Die genaue Anzahl der betroffenen E-Mails und Daten bleibt jedoch unklar. Die Sicherheitslücke, die von den Angreifern ausgenutzt wurde, ist ein Beispiel für die zunehmende Komplexität und Raffinesse moderner Cyberangriffe.

Die Angreifer haben nicht nur technische Schwächen ausgenutzt, sondern auch menschliche Fehler, um ihre Ziele zu erreichen. Die Entdeckung dieser Angriffe könnte zu einer Neubewertung der Sicherheitsstrategien in vielen Organisationen führen. Die Vorfälle wurden erstmals im Mai 2026 öffentlich bekannt, als Sicherheitsforscher die Angriffe analysierten und die betroffenen Institutionen informierten. Die Ermittlungen dauern an, und es wird erwartet, dass weitere Details über die Angreifer und ihre Methoden ans Licht kommen. Sicherheitsbehörden warnen davor, dass ähnliche Angriffe in Zukunft wahrscheinlich sind.