Едно проникване се превърна във верижна реакция в целия интернет и отвори достъп до приложенията на Google, Slack, Amazon и Microsoft
Мащабната кражба на токени за засвидетелствуване от Salesloft, разработчик на корпоративен чатбот провокира верижна реакция в цялата цифрова инфраструктура. Според предизвестие от Гугъл случаят визира освен данните в Salesforce, само че и стотици услуги на трети страни, интегрирани със Salesloft – в това число Slack, Гугъл Workspace, Amazon S3, Microsoft Azure и OpenAI.
Salesloft, която обслужва повече от 5000 клиенти на 20 август заяви, че е разкрила проблем в своето приложение Drift – самата технология, която стои зад нейния чатбота, необятно употребен в корпоративните уеб сайтове. Предупреждението призоваваше потребителите да свържат още веднъж Drift със Salesforce, като по този метод анулират токените, само че по това време не беше разкрито, че те може би към този момент са компрометирани.
Едва на 26 август Гугъл Threat Intelligence Group (GTIG) публично удостовери, че незнайни нападатели, разпознати като UNC6395 са употребявали откраднатите токени най-малко от 8 август, извличайки големи количества информация от корпоративните системи на Salesforce. В същото време, както се акцентира, самата платформа Salesforce не съдържа никакви уязвимости, а става въпрос за приключване на токени за достъп.
GTIG отбелязва, че хакерите интензивно претърсват получените данни в търсене на чувствителни материали: ключове за AWS, VPN сметки, достъп до Snowflake и други облачни складове. Ако съумеят да се намерят работещи идентификационни данни, това може да компрометира в допълнение инфраструктурите както на жертвите, по този начин и на техните сътрудници.
На 28 август Гугъл актуализира предизвестието, с цел да добави, че нападателите са употребявали токени за достъп до пощата в „ дребен брой “ сметки в Гугъл Workstation, особено основани за работа със Salesloft. GTIG настоятелно предлага всички токени, свързани с интеграциите на Salesloft (независимо от съответната услуга на трета страна) да бъдат неотложно анулирани.
Гугъл категорично декларира: всички организации, които употребяват Salesloft Drift по отношение на външни платформи (включително, само че освен Salesforce), би трябвало да смятат данните си за компрометирани и да подхващат незабавни коригиращи дейности. В отговор Salesforce блокира интеграциите на Drift със личната си платформа, както и със Slack и Pardot.
Инцидентът се разпростира на фона на огромен обществен инженеринг: нападателите са употребявали фишинг посредством гласови позвънявания, с цел да убедят задачите да свържат злонамереното приложение с тяхната инстанция на Salesforce. Тази акция към този момент е довела до приключване на информация и изнудване против компании като Adidas, Allianz Life и Qantas.
На 5 август Гугъл удостовери, че една от вътрешните инстанции на Salesforce е била хакната в границите на същата акция. Групата GTIG е присвоила на нападателите обозначението UNC6040. Самите нападатели настояват, че принадлежат към известната хакерска група ShinyHunters и загатват, че ще пуснат уеб страница за приключване на данни, с цел да усилят натиска върху жертвите.
Групата ShinyHunters от дълго време е известна с хакването на облачни платформи и снабдители на услуги от трети страни. От 2020 година насам те са разгласили десетки бази данни с милиони записи в даркнет конгреси, в това число закрития към този момент BreachForums. Смята се, че членовете на групата са плаващ състав от англоговорящи киберпрестъпници, дейни в Telegram и Discord.
Все още не е открито по какъв начин тъкмо нападателите са получили достъп до всички токени на Drift. На 27 август Salesloft притегли експерти от трета страна, с цел да проверяват случая.
