أكدت شركة جوجل وقوع عملية اختراق واسعة لسلسلة التوريد، أدّت إلى سرقة بيانات مخزنة على منصة Salesforce تخص أكثر من 200 شركة، وجاء ذلك بعد إعلان شركة Salesforce عن خرق لبيانات بعض عملائها عبر تطبيقات تابعة لشركة Gainsight، المتخصصة في دعم وإدارة علاقات العملاء.
وقالت Salesforce، إن الهجوم استغل تطبيقات Gainsight للوصول إلى بيانات المؤسسات، دون الكشف عن هوية الشركات المتضررة ، فيما أوضح أوستن لارسن، كبير محللي التهديدات في Google Threat Intelligence Group، أن جوجل على علم بأكثر من 200 حالة محتملة من بين عملاء Salesforce.
مجموعة Scattered Lapsus$ Hunters تتبنى الهجوم
عقب الكشف عن الحادث، أعلنت مجموعة القرصنة Scattered Lapsus$ Hunters التي تضم عصابات سيئة السمعة مثل ShinyHunters مسؤوليتها عبر قناة في تطبيق تيليجرام ، وزعمت المجموعة أن الهجوم استهدف شركات كبرى تشمل:
Atlassian، CrowdStrike، Docusign، F5، GitLab، LinkedIn، Malwarebytes، SonicWall، Thomson Reuters، Verizon.
ورغم ذلك، نفى بعض الضحايا المزعومين تأثرهم ، إذ قالت CrowdStrike إن بياناتها آمنة، فيما أوضحت Verizon أنها على علم بالادعاءات غير المدعومة ، كما أكدت Docusign عدم رصد أي اختراق في أنظمتها بعد تحقيق داخلي.
الثغرة بدأت من حملة اختراق سابقة
كشفت مجموعة ShinyHunters لتك كرانش أن الوصول إلى Gainsight حدث نتيجة حملة اختراق سابقة استهدفت عملاء شركة Salesloft، التي توفر منصة Drift للدردشة وروبوتات التسويق.
وفي تلك الحملة، سرق القراصنة رموز مصادقة تابعة لـ Drift، ما أتاح لهم الوصول إلى خوادم Salesforce المرتبطة بعملائها.
وأقرت Gainsight سابقًا بأنها كانت من بين ضحايا ذلك الهجوم، ما يُشير إلى سلسلة اختراقات متتابعة قادت إلى الحادث الأخير.
موقف Salesforce وGainsightقالت Salesforce إنه لا توجد أي ثغرة في منصتها تتعلق بالحادث، مؤكدة أن الخرق جاء عبر تطبيق خارجي، كما قامت مؤقتًا بإلغاء رموز الوصول الخاصة بتطبيقات Gainsight بهدف الحد من الضرر.
من جانبها، أعلنت Gainsight أنها تتعاون مع فريق الاستجابة للحوادث التابع لجوجل Mandiant لإجراء تحليل جنائي شامل، وأوضحت أن الاختراق نشأ من اتصال خارجى لا يتعلق بثغرة فى Salesforce نفسها.
ابتزاز مرتقب من القراصنةوأعلنت مجموعة Scattered Lapsus$ Hunters عبر تيليجرام نيتها إطلاق موقع إلكتروني للابتزاز يستهدف ضحايا الهجوم خلال الأسبوع المقبل ، ويبدو أن هذا الأسلوب أصبح توقيعًا مميزًا للمجموعة، بعد استخدامها مواقع مشابهة في عمليات ابتزاز مرتبطة بحملات اختراق سابقة.
من هم القراصنة خلف الهجوم؟
تتكون المجموعة من عدة عصابات إجرامية بارزة، منها: ShinyHunters، Scattered Spider، Lapsus$.
وتعتمد هذه العصابات بشكل كبير على أساليب الهندسة الاجتماعية لخداع موظفي الشركات والحصول على بيانات اعتمادهم، ما سمح لها سابقًا بالإضرار بضحايا كبار مثل MGM Resorts، Coinbase وDoorDash.
