نقض داده در Google در ادامه موج حملات مرتبط با سرقت اطلاعات از Salesforce

Google جدیدترین شرکتی است که در موج فعلی حملات سرقت داده از طریق Salesforce CRM، توسط گروه اخاذی ShinyHunters مورد هدف قرار گرفته و دچار نقض داده شده است.

در ماه ژوئن، Google هشدار داد که یک عامل تهدید که آن را با شناسه ‘UNC6040’ طبقه‌بندی می‌کند، کارمندان شرکت‌ها را از طریق حملات مهندسی اجتماعی voice phishing (vishing) هدف قرار داده تا به نمونه‌های Salesforce دسترسی یافته و داده‌های مشتریان را استخراج کند. این داده‌ها سپس برای اخاذی از شرکت‌ها به‌کار گرفته می‌شوند؛ بدین صورت که مهاجمان با تهدید به افشای اطلاعات، خواستار پرداخت باج می‌شوند.

در به‌روزرسانی مختصری که شب گذشته به مقاله مربوطه افزوده شد، Google اعلام کرد که خود نیز در ماه ژوئن قربانی همین حمله شده است؛ بدین ترتیب که یکی از نمونه‌های Salesforce CRM سازمانی‌اش مورد نفوذ قرار گرفته و داده‌های مشتریان به سرقت رفته است.

Google در بیانیه خود نوشت:
«در ماه ژوئن، یکی از نمونه‌های سازمانی Salesforce ما تحت تأثیر فعالیت‌های مشابه با آنچه در این مطلب شرح داده شده (فعالیت‌های UNC6040) قرار گرفت. Google به این حادثه پاسخ داد، تحلیل اثرات را انجام داد و اقدامات کاهش آسیب را آغاز کرد.»

این نمونه برای ذخیره اطلاعات تماس و یادداشت‌های مرتبط با کسب‌وکارهای کوچک و متوسط استفاده می‌شد. تحلیل‌ها نشان داد که داده‌ها در بازه زمانی کوتاهی قبل از مسدودسازی دسترسی، توسط عامل تهدید استخراج شده‌اند.

به گفته Google، اطلاعات استخراج‌شده محدود به داده‌های پایه و عمدتاً عمومی مربوط به کسب‌وکارها بوده، از جمله نام شرکت‌ها و اطلاعات تماس.

Google عاملان این حملات را با شناسه‌های UNC6040 یا UNC6240 طبقه‌بندی کرده است. با این حال، پایگاه خبری BleepingComputer که این حملات را پیگیری می‌کند، اعلام کرده که گروه شناخته‌شده ShinyHunters در واقع پشت این حملات قرار دارد.

ShinyHunters گروهی شناخته‌شده است که در طی سال‌های اخیر مسئول نقض‌های متعددی بوده، از جمله حملات به PowerSchool، Oracle Cloud، حملات سرقت داده از Snowflake، AT&T، NitroPDF، Wattpad، MathWay و بسیاری دیگر.

در گفت‌وگویی با BleepingComputer که روز گذشته منتشر شد، گروه ShinyHunters ادعا کرده‌اند که موفق به نفوذ به تعداد زیادی از نمونه‌های Salesforce شده‌اند و حملات همچنان در جریان است.

این گروه تهدیدکننده روز گذشته همچنین مدعی شد که موفق به نفوذ به یک شرکت با ارزش بازار تریلیون دلاری شده و در حال بررسی این هستند که به‌جای اخاذی، مستقیماً داده‌ها را افشا کنند. مشخص نیست که آیا منظور آن‌ها از این شرکت، Google بوده یا خیر.

در خصوص سایر شرکت‌هایی که تحت تأثیر این حملات قرار گرفته‌اند، گروه تهدیدکننده از طریق ایمیل اقدام به اخاذی کرده و خواستار پرداخت باج برای جلوگیری از انتشار عمومی داده‌ها شده‌اند.

پس از پایان اخاذی‌های خصوصی، مهاجمان قصد دارند داده‌ها را به‌صورت عمومی در hacking forumها منتشر کرده یا به فروش برسانند.

BleepingComputer مطلع شده که یکی از شرکت‌های قربانی، مبلغ ۴ بیت‌کوین (حدود ۴۰۰,۰۰۰ دلار) را برای جلوگیری از افشای داده‌های خود پرداخت کرده است.

از دیگر شرکت‌های قربانی این حملات می‌توان به Adidas، Qantas، Allianz Life، Cisco و شرکت‌های زیرمجموعه LVMH شامل Louis Vuitton، Dior و Tiffany & Co. اشاره کرد.