أكدت شركة جوجل وقوع هجوم كبير استهدف سلسلة التوريد، أدى إلى سرقة بيانات محفوظة على منصة Salesforce تخص أكثر من 200 شركة. جاء ذلك بعد إعلان Salesforce عن خرق لبيانات بعض عملائها عبر تطبيقات تابعة لشركة Gainsight المتخصصة في إدارة علاقات العملاء.
تفاصيل الهجوم وتأكيد جوجل
أوضحت Salesforce أن الهجوم استغل تطبيقات Gainsight للوصول إلى بيانات المؤسسات دون الكشف عن أسماء الشركات المتضررة. من جهته، ذكر أوستن لارسن، كبير محللي التهديدات في فريق Google Threat Intelligence، أن جوجل رصدت أكثر من 200 حالة محتملة بين عملاء Salesforce الذين طالهم الاختراق.
ادعاء مجموعة Scattered Lapsus$ Hunters
أعلنت مجموعة القرصنة المعروفة باسم Scattered Lapsus$ Hunters، والتي تضم عصابات مثل ShinyHunters، مسؤوليتها عن الهجوم عبر قناتها على تيليغرام. وزعمت أن الاختراق طال شركات بارزة منها Atlassian وCrowdStrike وDocusign وF5 وGitLab وLinkedIn وMalwarebytes وSonicWall وThomson Reuters وVerizon.
لكن عدداً من تلك الشركات نفى تعرّضه لأي اختراق، إذ أكدت CrowdStrike أن بياناتها آمنة، بينما وصفت Verizon ما تردد بأنه ادعاءات غير دقيقة، وأكدت Docusign أنها لم ترصد أي خرق بعد فحص شامل.
اختراقات سابقة قادت إلى الحادث الحالي
أشارت التحقيقات الأولية إلى أن الوصول الأولي للأنظمة، خاصة في شركة Gainsight، كان نتاج سلسلة هجمات سابقة. فقد أوضحت مجموعة ShinyHunters لموقع تك كرانش أن هذا الاختراق جاء بعد حملة استهدفت عملاء شركة Salesloft التي توفر منصة Drift للدردشة. وتمكن القراصنة في تلك الحملة من الحصول على رموز مصادقة لمنصة Drift، ما سمح لهم بالوصول غير المصرح به إلى خوادم Salesforce المرتبطة بعملائها. وكانت Gainsight قد أكدت سابقاً أنها كانت ضمن ضحايا ذلك الهجوم الأولي.
موقف Salesforce وGainsight
أكدت Salesforce أن منصتها الأساسية لم تتعرض لأي ثغرة، وأن الخرق جاء عبر تطبيق خارجي. ولتقليل المخاطر، قامت الشركة بإلغاء رموز الوصول الخاصة بتطبيقات Gainsight مؤقتاً. من جانبها، أعلنت Gainsight أنها تعمل بالتعاون مع فريق Google Mandiant لتحليل الهجوم وتحقيقه، مؤكدة أن الاختراق جاء من اتصال خارجي وليس من خلال ثغرة في Salesforce.
تهديدات بالابتزاز
أعلنت مجموعة Scattered Lapsus$ Hunters أنها تستعد لإطلاق موقع إلكتروني مخصص لابتزاز الضحايا خلال الأسبوع المقبل، وهو أسلوب معروف في عملياتها السابقة.
من هم القراصنة؟
تتكون المجموعة من ائتلاف يضم عدداً من العصابات السيبرانية البارزة مثل ShinyHunters وScattered Spider وLapsus$. وتعتمد هذه المجموعات بشكل كبير على الهندسة الاجتماعية لخداع موظفي الشركات والحصول على بيانات اعتمادهم.
