Kifinomult támadások a Salesforce ellen
A Google Threat Intelligence Group (GTIG) kutatása szerint a ShinyHunters (UNC6040 néven is ismert) támadói informatikai támogatónak adták ki magukat, hogy rávegyék a kiszemelt dolgozókat egy rendkívül veszélyes lépésre. Egy olyan Salesforce-alkalmazás beállítási felületét mutatták meg az áldozatoknak, ahol egy „kapcsolati kód” megadásával az adataikat egy hamisított, kompromittált Data Loader (vagy más néven My Ticket Portal) alkalmazáshoz kapcsolták.
A támadások jelentős részét telefonhívásokon keresztül hajtották végre, de előfordult, hogy online hitelesítési adatokat és MFA-tokeneket (többfaktoros hitelesítés) hamis Okta bejelentkezési oldalakon keresztül loptak el. Ezzel a módszerrel többek között az LVMH leányvállalatainak, a Qantasnak és az Allianz Life-nak az ügyféladatai kerültek illetéktelen kezekbe, általában egy harmadik fél (felhőalapú) CRM-rendszerén keresztül. Különösen fontos kiemelni, hogy a hivatalos bírósági dokumentumok szerint a támadók maguk fértek hozzá a Salesforce-adatbázis objektumokhoz is.
Párhuzamos fenyegetések és zsarolások
Érdekesség, hogy a ShinyHunters eddig nem követett el nyilvános zsarolást vagy adat-kiszivárogtatást. A megszerzett adatokat privát úton, emailben próbálták meg pénzzé tenni, magukat egyértelműen ShinyHunters néven azonosítva. Amennyiben ezek a zsarolási kísérletek nem járnak sikerrel, valószínűleg egy nagyobb adatszivárogtatási hullám következik majd, a csoport korábbi módszereihez hasonlóan. Egyelőre nem jelent meg olyan oldal, ahol ezek az új adatlopások nyilvánosan elérhetőek lennének, de a csoport stratégiája, hogy inkább eladják, mint hogy megosszák a megszerzett információt.
A Google GTIG a támadásokat elkülönítetten, UNC6040 és UNC6240 néven nyilvántartott fenyegetési csoportokhoz köti, részben a támadások és a zsarolások közötti időbeli eltérések miatt. A fenyegetések mögött álló belső kapcsolatrendszer továbbra is zavaros és tisztázatlan.
Zavaros kiberbűnözői viszonyok
Az események a kiberbiztonsági világban is komoly zűrzavart okoztak, mert a különböző nevek és csoportok – mint például a Szétszórt Pók (Scattered Spider) (UNC3944) – gyakran ugyanazokat az iparágakat célozzák, hasonló eszközökkel, például átfogó hálózati betörésekkel vagy adatlopással. A kutatók szerint az UNC6040/6240 és az UNC3944 tagjai átfedhetnek, sőt, együtt is dolgozhatnak. Felvetődött az is, hogy a ShinyHunters lényegében „zsarolás mint szolgáltatás” alapon tevékenykedik: más bűnözők helyett hajt végre zsarolóakciókat, hasonlóan a zsarolóvírus-bűnözői üzleti modellhez.
Tovább bonyolítja a helyzetet, hogy több csoporttag elfogását követően is sorozatban következnek az újabb támadások, amelyeket továbbra is ShinyHunters kollektíva néven vállalnak magukra.
Salesforce: A platform nem hibás, az ember a gyenge láncszem
A Salesforce hangsúlyozza, hogy maga a platform biztonságos, a problémát az emberi tényező okozza. A támadók ügyes social engineeringgel (manipulációval) veszik rá a felhasználókat, hogy kiadják az értékes hozzáférési adatokat. Ezért a vállalat kiemelten ajánlja ügyfeleinek a következő biztonsági intézkedéseket: többfaktoros hitelesítés (MFA) alkalmazása, jogosultságok szigorú kezelése (a legkisebb jogosultság elve), megbízható IP-tartományok beállítása, a kapcsolt alkalmazások folyamatos ellenőrzése, valamint a Salesforce Shield szolgáltatás használata fejlett fenyegetésészleléshez és incidenskezeléshez.
Összegzés
Összességében a ShinyHunters példája világosan mutatja: a felhőalapú CRM rendszerekben sem maga a technológia, hanem a figyelmetlen végfelhasználó jelenti a legnagyobb támadási felületet. Egyre kifinomultabb, MI-alapú, személyre szabott támadásokkal próbálják kicsalni a digitális kulcsokat, miközben a zsarolók inkább a háttérben, csendben próbálnak pénzt szerezni, nem a nyilvánosság előtt. A védekezés egyik legfontosabb eleme az oktatás, a rendszeres tudatosságnövelés és a legújabb biztonsági funkciók mielőbbi bevezetése. Aki ezt elmulasztja, könnyen a következő nagy adatszivárgás sztárja lehet — és ez tényleg nem túlzás.
