ذكرت تقارير أن شركة CrowdStrike الأمريكية للأمن السيبراني ومقرها تكساس طردت موظفًا متهمًا بتسريب معلومات داخلية إلى مجموعة جرائم إلكترونية أعلنت مؤخرًا مسؤوليتها عن خروقات مؤسسية تتعلق بأنظمة متصلة بشركة Salesforce.
طردت شركة الأمن "الشخص المطلع" بعد أن اكتشفت أنه عمل مع المجموعة المعروفة باسم Scattered Lapsus$ Hunters، والتي بدأت في نشر لقطات شاشة داخلية مزعومة في وقت متأخر من يوم الخميس وصباح الجمعة على قناتها على Telegram.
نشر موقع Scattered Lapsus$ عدة صور تُظهر لوحات معلومات مرتبطة بموارد الشركة، بما في ذلك لوحات Okta التي يستخدمها الموظفون للوصول إلى التطبيقات الداخلية. زعم المخترقون أن لقطات الشاشة التقطها الموظف المُخترق، وأنها دليل على نجاحهم في اختراق CrowdStrike بعد اختراق Gainsight في وقت سابق من هذا الأسبوع.
لا تزال CrowdStrike وGainsight تحققان في المعلومات المسروقة
وبحسب شركة CrowdStrike، فإن تأكيدات مجموعة القرصنة والصور الموجودة على Telegram كانت مملوكة فقط لموظف شارك صورًا غير مصرح بها لشاشته مع أطراف خارجية، وتصر الشركة على عدم وجود أي خروقات في أنظمتها.
لموقع "لم تُخترق أنظمتنا قط، وظل عملاؤنا محميين طوال الوقت". وأضاف أن الشركة "أحالت القضية إلى جهات إنفاذ القانون المختصة" بعد إنهاء صلاحية وصول المطلعين.
وزعمت شركة CrowdStrike أنها قامت بملء مكتب العامل بمجرد التأكد من أنه "شارك صورًا لشاشة الكمبيوتر الخاصة به خارجيًا"، وأن الادعاءات المتداولة في قنوات القراصنة كانت "كاذبة".
Salesforce تؤكد خرق بيانات العملاء
صباح يوم الجمعة، حدّثت شركة Salesforce صفحةdent الخاصة بها، مشيرةً إلى أن اختراقًا أثر على بعض عملائها، متسببًا في "انقطاعات اتصال". وقد تمكن جهات غير مصرح لها من الوصول إلى "بيانات Salesforce الخاصة ببعض العملاء"، إلا أنها لمdentالجهات المتضررة.
وقالت شركة Salesforce إن الاختراق حدث من خلال تطبيقات طورتها شركة Gainsight، وهي شركة تقدم خدمات دعم العملاء والتحليلات.
وفي وقت لاحق من اليوم، قال أوستن لارسن من Threat Intelligence Group في Google، وهو محلل التهديدات الرئيسي في قسم الأمن السيبراني، إن الشركة "على علم بأكثر من 200 حالة من حالات Salesforce المتأثرة المحتملة".
أعلن صيادو Lapsus$ المتناثرون علنًا مسؤوليتهم عن الوصول إلى البيانات من خلال تكاملات Gainsight واستخدموا المعلومات المسروقة لاستهداف عملاء مؤسسيين آخرين.
وتفاخر متحدث باسم ShinyHunters، إحدى المجموعات داخل المجموعة، بأن "شركة Gainsight كانت عميلاً لشركة Salesloft Drift، وقد تأثرت بها وبالتالي تعرضت للخطر بالكامل من قبلنا".
تُصدر شركة Gainsight تحديثات على صفحةdent منذ الإعلان عن الهجوم. يوم الجمعة، أعلنت الشركة أنها استعانت بوحدة الاستجابةdent لشركة Google، Mandiant، للمساعدة في التحقيق في الاختراق.
كما قامت شركة Salesforce أيضًا بإلغاء رموز الوصول النشطة للتطبيقات المرتبطة بـ Gainsight مؤقتًا كإجراء احترازي، إلى جانب إخطار العملاء الذين سُرقت بياناتهم، وفقًا للتحديثات العامة للشركة.
قد يجد مستخدمو Hubspot أن تطبيق Gainsight قد سُحب مؤقتًا من سوق Hubspot كإجراء احترازي. وقد يؤثر هذا أيضًا على وصول OAuth لاتصالات العملاء أثناء إجراء المراجعة. سنعمل مع Hubspot على إعادة إدراج التطبيق بعد مراجعة شاملة، وفقًا لتقرير تقدم نُشر يوم الخميس.
عائلة Lapsus$ المتفرقة مسؤولة عن العديد من الخروقات البارزة
Scattered Lapsus$ Hunters هو مشروع تعاوني بين عدة مجموعات جرائم إلكترونية ناطقة باللغة الإنجليزية، بما في ذلك ShinyHunters وScattered Spider وLapsus$. اشتهرت هذه المجموعة باستخدام تقنيات الهندسة الاجتماعية لخداع الموظفين ودفعهم للكشف عن تفاصيل تسجيل الدخول، أو منحهم إمكانية الوصول عن بُعد، أو الموافقة على طلبات المصادقة.
في قائمة "فتوحاتهم"، استهدفت المجموعة سابقًا منتجعات إم جي إم، وكوين بيس، ودور داش، وورك داي، وأفلاك للتأمين ، وشركات كبرى أخرى. في أكتوبر الماضي، ادعى صائدو لابسوس$ المتناثرون سرقة أكثر من مليار سجل من شركات تستخدم سيلزفورس لإدارة معلومات عملائها.
نشروا دليلًا مسربًا للبيانات من شركة التأمين Allianz Life، وشركة الطيران Qantas، وشركة صناعة السيارات Stellantis، وTransUnion، ومنصة إدارة الموظفين Workday، وغيرها.
على مدار العام ونصف العام الماضيين، أعلنت عائلة Scattered Lapsus$ أيضًا مسؤوليتها عنdentعلى Atlassian، وDocuSign، وF5، وGitLab، وLinkedIn، وMalwarebytes، وSonicWall، وThomson Reuters، وVerizon.
وقال القراصنة على قناتهم على تطبيق تيليجرام إنهم يخططون لإطلاق موقع ابتزاز جديد الأسبوع المقبل للشركات التي تعرضت للاستهداف في أحدث عملياتهم.
"سيحتوي موقع تسريب البيانات التالي على بيانات حملتي Salesloft وGainSight"، شارك المتسللون خططهم مع DataBreaches.net.
