Data Loader — под контролем хакеров. Ваш бизнес уже не ваш?

Добрый день, это Salesforce. Не могли бы вы установить наш вирус?»
Именно так — вежливо и убедительно — звучит начало атак, которые проводит группировка UNC6040. Под видом поддержки Salesforce хакеры звонят сотрудникам компаний и уговаривают установить фальшивую версию Data Loader. Остальное — дело техники.
Сценарий простой: сотрудник получает звонок, его направляют на поддельный сайт, где “предлагается” скачать якобы официальный инструмент. После установки подделки хакеры получают доступ к конфиденциальным данным в Salesforce и могут выполнять любые операции — от чтения информации до её экспорта.

Но на этом атаки не заканчиваются. Полученные доступы позволяют двигаться дальше по корпоративной сети, атаковать другие облачные сервисы и даже проникать во внутренние ИТ-системы.

По данным Google, от UNC6040 уже пострадали около 20 компаний. Среди них — Coca-Cola Europacific Partners. В их случае было похищено 64 ГБ данных через взлом Salesforce-учётки, хотя сами ИТ-системы Coca-Cola напрямую не пострадали.

Исследователи связывают UNC6040 с криминальным сообществом The Com, известным участием в финансовых и насильственных преступлениях.

Salesforce ещё в марте предупреждала о рисках, связанных с поддельными версиями Data Loader. Компания подчёркивает: дело не в уязвимостях платформы, а в социальной инженерии и низком уровне киберграмотности сотрудников.

Этот кейс — тревожный сигнал: даже одна подмена инструмента и один убедительный звонок могут стоить компании контроля над своей инфраструктурой.