أكّدت شركة جوجل تعرض بيانات أكثر من 200 شركة مخزنة على منصة Salesforce للسرقة، في هجوم واسع استهدف سلسلة التوريد.
في بيان صدر يوم الخميس، كشفت Salesforce عن خرق لبيانات بعض العملاء دون الكشف عن أسماء الشركات المتأثرة، وتمت سرقة البيانات عبر تطبيقات منشورة من قبل Gainsight، المزود لمنصة دعم العملاء لشركات أخرى.
وصرح أوستن لارسن، محلل التهديدات الرئيسي في مجموعة Google Threat Intelligence، بأن الشركة “على علم بأكثر من 200 حالة محتملة لتأثر بيانات Salesforce”.
بعد إعلان Salesforce عن الخرق، ادعى مجموعة القراصنة المعروفة باسم Scattered Lapsus$ Hunters، والتي تضم عصابة ShinyHunters، مسؤوليتها عن الهجمات عبر قناة على Telegram، وفق ما رصده موقع TechCrunch.
وقالت المجموعة إنها استهدفت شركات من بينها Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters, و Verizon.
ردود الشركات وتأثير الاختراق
-
CrowdStrike: أكد المتحدث باسم الشركة كيفن بيناتشي لموقع TechCrunch أن الشركة لم تتأثر بمشكلة Gainsight، وأن جميع بيانات العملاء آمنة. كما أبلغت الشركة أنها أنهت علاقة موظف داخلي مشتبه به لتسريبه معلومات للقراصنة.
-
Malwarebytes: قالت المتحدثة باسم الشركة أشلي ستيوارت إن فريق الأمن على دراية بالقضية ويجري التحقيق بنشاط.
-
Verizon: أكدت استلام البريد الإلكتروني من TechCrunch، فيما لم ترد بقية الشركات على طلبات التعليق حتى وقت النشر.
-
Salesforce: أكدت المتحدثة نيكول أرندا أن السياسة الداخلية للشركة تمنع التعليق على قضايا العملاء الفردية، وأضافت أن لا دليل على أن المشكلة نشأت من أي ثغرة في منصة Salesforce نفسها.
-
Gainsight: لم ترد على طلبات التعليق، لكنها نشرت تحديثات على صفحة الحوادث الخاصة بها، وأعلنت أنها تتعاون مع وحدة الاستجابة للحوادث التابعة لجوجل Mandiant للتحقيق في الخرق، مشيرةً إلى أن الاختراق نشأ من الاتصال الخارجي للتطبيقات وليس من أي مشكلة داخل منصة Salesforce، وأن التحليل الجنائي لا يزال جاريًا كجزء من مراجعة مستقلة وشاملة.
وتقوم Gainsight حاليًا بتعليق رموز الوصول النشطة للتطبيقات المرتبطة بها على Salesforce كإجراء احترازي، بينما تستمر في التحقيق بالنشاط غير المعتاد وإخطار العملاء المتأثرين بالبيانات المسروقة.
أسلوب الهجوم والخلفية
تستخدم Scattered Lapsus$ Hunters، وهي مجموعة تتألف من عدة عصابات إلكترونية مثل ShinyHunters, Scattered Spider, و Lapsus$، أساليب الهندسة الاجتماعية لخداع موظفي الشركات ومنح القراصنة وصولاً إلى أنظمة وقواعد البيانات. وقد ادعى أعضاء المجموعة أنهم حصلوا على الوصول إلى Gainsight بفضل حملة سابقة استهدفت عملاء Salesloft، حيث سرقوا رموز المصادقة الخاصة بتطبيق Drift، ما مكّنهم من الوصول إلى حسابات Salesforce المرتبطة وتحميل محتوياتها.
وتخطط المجموعة لإنشاء موقع إلكتروني مخصص للابتزاز للضحايا المتأثرين بحملتها الأخيرة، وهو أسلوب اعتمدته مسبقًا في أكتوبر بعد اختراق بيانات Salesforce لضحايا Salesloft.
على مدى السنوات الماضية، نفذت هذه العصابات عدة هجمات ضد شركات كبيرة مثل MGM Resorts, Coinbase, DoorDash، وغيرها، مستهدفة بيانات حساسة لتحقيق مكاسب مالية غير قانونية.
