テキサス州に拠点を置く米国のサイバーセキュリティ企業クラウドストライクは、サイバー犯罪集団に内部情報を漏洩したとして告発された従業員を解雇したと報じられている。この集団は最近、セールスフォース・ドットコム関連システムに関わる企業侵害の責任を主張している。
セキュリティ企業は、この「内部者」が、スキャタード・ラプサス・ハンターズとして知られるグループと協力関係にあったことが判明した後、解雇した。このグループは、木曜日の夜遅くから金曜日の朝にかけて、テレグラムのチャンネルで内部のスクリーンショットとされるものを公開し始めた。
Scattered Lapsus$は、従業員が社内アプリケーションにアクセスするために使用するOktaパネルなど、会社のリソースにリンクされたダッシュボードの画像をいくつか公開しました。ハッカーたちは、これらのスクリーンショットは侵入した従業員のものであり、今週初めにGainsightをハッキングした後、CrowdStrikeへの侵入に成功した証拠であると主張しました。
CrowdStrikeとGainsightは盗難された情報の調査を続けている
クラウドストライクによると、ハッキンググループの主張とテレグラム上の画像は、自分の画面の写真を外部の関係者と許可なく共有した従業員のものだけであり、システムへの侵入はなかったと主張している。
「当社のシステムは侵害されておらず、お客様は常に保護されていました」と、広報担当のケビン・ベナッチ氏は語った。ベナッチ氏はさらに、内部関係者のアクセスを遮断した後、当社は「この件を関係法執行機関に引き渡した」と付け加えた。
クラウドストライクは、この従業員が「自分のコンピューター画面の写真を外部に共有した」ことが確認され次第、その従業員のデスクを包囲したと主張し、ハッカーのチャンネルで広まっている主張は「虚偽」であるとした。
Salesforceが顧客データの漏洩を認める
Salesforceは金曜日の朝、dent ページを更新し、一部の顧客に「接続障害」が発生し、情報漏洩が発生していると発表した。不正な攻撃者が「特定の顧客のSalesforceデータ」にアクセスしたとされているが、影響を受けた組織はdentにされていない。
セールスフォースは、侵入は顧客サポートおよび分析サービスプロバイダーのGainsightが開発したアプリケーションを通じて発生したと述べた。
同日遅く、Googleの脅威インテリジェンスグループでサイバーセキュリティ部門の主席脅威アナリストを務めるオースティン・ラーセン氏は、同社は「影響を受ける可能性のあるSalesforceインスタンスが200件以上あることを認識している」と述べた。
散在する Lapsus$ ハンターは、Gainsight の統合を通じてデータにアクセスし、盗んだ情報を使用して他の企業顧客を標的にしたことを公に主張しました。
同団体内のグループの一つであるShinyHuntersの広報担当者は、「GainsightはSalesloft Driftの顧客であり、彼らは完全に私たちのせいで影響を受け、侵害を受けた」と自慢した。
Gainsightは、攻撃が公表されて以来、dent ページで最新情報を発表し続けている。金曜日には、Googleのdent 対応部門であるMandiantに、侵害の調査支援を依頼したと発表した。
Salesforce はまた、予防措置として Gainsight に接続されたアプリのアクティブなアクセス トークンを一時的に取り消し、データが盗まれた顧客に通知したと、同社の公開アップデートで発表された。
「Hubspotをご利用のお客様は、予防措置としてGainsightアプリがHubspotマーケットプレイスから一時的に削除されていることに気付くかもしれません。また、レビューが行われている間、お客様による接続のOAuthアクセスにも影響が出る可能性があります。徹底的なレビューの後、Hubspotと協力し、再掲載に向けて取り組んでまいります」と、木曜日に公開された進捗報告書には記されています。
散在するLapsus$ファミリーは、いくつかの注目を集めた侵害に関与している
Scattered Lapsus$ Huntersは、ShinyHunters、Scattered Spider、Lapsus$など、複数の英語圏のサイバー犯罪グループによって結成された共同組織です。この集団は、ソーシャルエンジニアリングの手法を用いて従業員を騙し、ログイン情報の開示、リモートアクセスの許可、認証プロンプトの承認を促し、有名になりました。
このグループはこれまでに、MGMリゾーツ、コインベース、ドアダッシュ、ワークデイ、アフラック保険などの大企業を標的にしてきた。10月には、Scattered Lapsus$ Huntersは、顧客情報管理にSalesforceを使用している企業から10億件以上のレコードを盗んだと主張した。
彼らは、保険会社アリアンツ・ライフ、航空会社カンタス航空、自動車メーカーステランティス、トランスユニオン、従業員管理プラットフォームワークデイなどのデータを記載した漏洩ディレクトリを公開した。
過去 1 年半にわたり、Scattered Lapsus$ ファミリーは、Atlassian、DocuSign、F5、GitLab、LinkedIn、Malwarebytes、SonicWall、Thomson Reuters、Verizon に対するdentについても犯行声明を出しています。
ハッカーらはテレグラムのチャンネルで、今回の攻撃で攻撃を受けた企業に対し、来週新たな恐喝ウェブサイトを立ち上げる予定だと述べた。
「次のデータ漏洩サイトには、SalesloftとGainSightのキャンペーンのデータが含まれるだろう」とハッカーたちはDataBreaches.netに計画を共有した。
