Одна успешная атака вызвала эффект домино по всему интернету: украденные криптотокены дали злоумышленникам возможность заходить в Google, Slack, Amazon и Microsoft.
Одно уязвимое приложение — и масштабный кризис безопасности
Крупная утечка аутентификационных токенов в компании Salesloft, разработчике корпоративного чат-бота, запустила цепочку угроз для множества сервисов. Как сообщает Google, последствия затронули не только Salesforce, но и сотни других платформ, связанных с Salesloft — включая Slack, Google Workspace, Amazon S3, Microsoft Azure и OpenAI.
20 августа Salesloft уведомила своих более чем 5000 клиентов о проблеме, связанной с приложением Drift, которое используется в основе их чат-бота. Пользователям рекомендовали переподключить Drift к Salesforce, чтобы отозвать токены, но тогда ещё не уточнялось, что они уже могли оказаться в руках злоумышленников.
Позднее, 26 августа, группа Google Threat Intelligence Group (GTIG) подтвердила факт атаки: хакеры, обозначенные как UNC6395, начали использовать похищенные токены ещё с 8 августа и активно извлекали данные из корпоративных инстансов Salesforce. При этом уязвимостей в самой платформе Salesforce не обнаружено — речь идёт именно о компрометации токенов доступа.
Что ищут злоумышленники
По данным GTIG, атакующие анализируют украденные массивы данных в поисках чувствительных материалов — таких как ключи AWS, учётные записи VPN и доступы к облачным сервисам вроде Snowflake. Обнаружение подобных данных способно привести к новым взломам и цепочке атак не только на жертвы, но и на их партнёров.
28 августа Google сообщила, что украденные токены также использовались для входа в почтовые аккаунты Google Workstation, связанных с Salesloft. Эксперты настоятельно призвали компании немедленно отозвать все интеграционные токены, связанные с Salesloft, вне зависимости от используемого сервиса.
В ответ Salesforce отключила интеграции Drift с собственными системами, а также со Slack и Pardot.
Социальная инженерия и давление на жертв
Атака сопровождалась приёмами социальной инженерии: через фишинговые звонки жертв убеждали подключить вредоносное приложение к их Salesforce-инстансам. В результате произошли утечки, затронувшие такие компании, как Adidas, Allianz Life и Qantas.
Google также признала, что один из её собственных Salesforce-инстансов был скомпрометирован в ходе той же кампании. Этой атаке присвоили кодовое имя UNC6040. Сами же злоумышленники намекали на связь с известной группировкой ShinyHunters и угрожали запустить утечечный сайт.
ShinyHunters ранее неоднократно фигурировали в громких кибератаках и публикации баз данных на подпольных ресурсах, включая закрытый форум Breachforums. Однако эксперты отмечают, что в этот раз нет прямых доказательств их причастности.
Параллельно в Telegram появился канал “Scattered LAPSUS$ Hunters 4.0” с десятками тысяч подписчиков. Его участники заявляли о своей ответственности за взлом, но доказательств так и не представили. Канал используется скорее для запугивания специалистов и продвижения нового форума Breachstars, где обещают выкладывать данные в случае отказа жертв платить выкуп.
Почему атака оказалась такой успешной
По словам Джошуа Райта, технического директора Counter Hack, подобные атаки объясняются феноменом «authorization sprawl». Злоумышленники используют легитимные токены доступа, чтобы перемещаться по инфраструктуре без необходимости взлома конечных точек или повышения привилегий. Достаточно встроенных механизмов SSO и централизованной авторизации.
Как именно атакующие получили доступ к токенам Drift, пока неизвестно. 27 августа Salesloft привлекла сторонних специалистов для расследования.