mail-nation

Управляем почтой: от домена до конверсий

Новость

Угроза Umbrij: как злоумышленники крадут доступ к Gmail

Слабое место здесь не пароль и не MFA, а сохранённая браузерная сессия Google и OAuth-доступы.

Угроза Umbrij: как злоумышленники крадут доступ к Gmail

Атака идёт через сессию, а не через ввод пароля

По данным исследователей, Umbrij нацелен на Windows, но сама техника потенциально применима и в других средах. Ключевой элемент — браузеры на базе Chromium. Если сотрудник не вышел из Gmail, браузер сохраняет сессию авторизации. Этого достаточно, чтобы атакующий не вводил логин и пароль.

Сценарий описан так: запускается экземпляр браузера, к нему подключаются через отладочный порт, затем отправляются запросы к Gmail на получение доступа к ресурсам учётной записи Google. Для подтверждения используется OAuth-токен. Исследователи назвали технику Shadow Token via Remote Debug, STRD.

Практический вывод простой. Не считайте успешную MFA-политику завершённой защитой почты. Если токен уже получен через активную сессию, контроль надо искать в другом месте: в OAuth-разрешениях, поведении браузера и доступах сторонних приложений.

Какие доступы может получить Umbrij

В опубликованных данных указано, что инструмент может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения. Также упоминается сбор данных из календаря и других сервисов Google. Это уже не только чтение переписки. Это доступ к рабочему графику, адресной книге и файлам, связанным с корпоративной коммуникацией.

Опасный признак — длительная незаметность. Источники прямо указывают: злоумышленники могут читать переписки и собирать данные, оставаясь незамеченными продолжительное время. Для почтовой инфраструктуры это типовой плохой сценарий: нет грубого перебора паролей, нет обязательного подозрительного входа с вводом учётных данных, зато есть выданное приложению разрешение.

Проверьте подключённые к Google-аккаунтам приложения. Отдельно смотрите разрешения с широким доступом к Gmail, Drive, Contacts и Calendar. Удалите всё, что не имеет владельца, бизнес-назначения и понятной причины существования. Для сервисных интеграций зафиксируйте ответственного и назначение доступа.

Что мониторить администраторам Google Workspace

Первый индикатор из сообщения «Лаборатории Касперского» — запуск браузера с включённым портом отладки. Для разработчиков веб-приложений это рабочий инструмент. Для бухгалтерии, продаж, HR и большинства офисных пользователей — нетипичное поведение. Разделите эти группы. Где инструменты разработчика не нужны, рассмотрите их отключение в Chromium-браузерах.

Второй блок — аудит OAuth. Регулярно проверяйте сторонние приложения и сервисы, имеющие доступ к учётным записям Google. Не ограничивайтесь списком установленных расширений браузера: в данном случае важен именно доступ через API и выданные токены.

Третий блок — корреляция событий. Если у пользователя появляется приложение с широкими правами к Gmail и одновременно фиксируется запуск браузера в режиме отладки, это не косметический инцидент. Обрабатывайте как компрометацию почтового доступа. Отзывайте подозрительные токены, проверяйте разрешения, пересматривайте активные сессии.

Отдельно стоит учитывать общий фон по OAuth-атакам. В другом сообщении The Hacker News говорится об автоматизированной password spray-атаке через Azure CLI с компрометацией десятков корпоративных аккаунтов и использованием устаревшего OAuth ROPC. Это не тот же инцидент, но направление то же: атакующие всё чаще работают не только с паролем, а с механизмами авторизации вокруг почтовых и облачных сервисов.

Для Gmail-инфраструктуры порядок действий сейчас короткий: проверьте OAuth-разрешения, найдите запуск Chromium с отладочным портом, отключите инструменты разработчика там, где они не нужны, и пересмотрите сторонние приложения с доступом к почте, календарю, контактам и хранилищу. Пароль здесь может вообще не участвовать. Именно поэтому пропускать такую активность нельзя.