사이버 보안 대기업 CrowdStrike, 해커와 협력한 내부자 해고

텍사스에 본사를 둔 미국의 사이버 보안 회사인 CrowdStrike가 최근 Salesforce와 연결된 시스템과 관련된 기업 침해에 대한 책임을 주장한 사이버 범죄 조직에 내부 정보를 유출한 혐의로 직원을 해고했다고 보도되었습니다. 

보안 회사는 Scattered Lapsus$ Hunters라는 그룹과 협력했다는 사실을 발견한 후 이 "내부자"를 해고했습니다. 이 그룹은 목요일 늦은 시간과 금요일 오전부터 Telegram 채널을 통해 내부 스크린샷을 게시하기 시작했습니다.

Scattered Lapsus$는 직원들이 내부 애플리케이션에 접속하는 데 사용하는 Okta 패널을 포함하여 회사 리소스와 연결된 대시보드를 보여주는 여러 이미지를 공개했습니다. 해커들은 이 스크린샷이 감염된 직원에게서 나온 것이며, 이번 주 초 Gainsight를 해킹한 후 CrowdStrike에 성공적으로 침투했다는 증거라고 주장했습니다.

CrowdStrike와 Gainsight는 여전히 도난당한 정보를 조사하고 있습니다.

CrowdStrike에 따르면, 해킹 그룹의 주장과 Telegram에 있는 이미지는 외부 당사자와 승인 없이 자신의 화면 사진을 공유한 직원에게서만 나온 것이며, CrowdStrike는 시스템에 침해가 없었다고 주장합니다. 

"저희 시스템은 전혀 침해당하지 않았으며 고객들은 계속해서 안전하게 보호받았습니다."라고 대변인 케빈 베나치는 에서 밝혔습니다 . 그는 또한 내부자의 접근 권한을 차단한 후 "관련 사법 기관에 사건을 인계했다"고 덧붙였습니다.

CrowdStrike는 해당 직원이 "자신의 컴퓨터 화면 사진을 외부에 공유했다"는 사실이 확인되자마자 해당 직원의 책상을 가득 채웠다고 주장했으며, 해커 채널에 유포된 주장은 "거짓"이라고 밝혔습니다.

Salesforce, 고객 데이터 침해 확인

금요일 아침, Salesforce는dent 페이지를 업데이트하여 보안 침해로 인해 일부 고객이 "연결 실패"를 겪고 있다고 밝혔습니다. 무단 공격자가 "특정 고객의 Salesforce 데이터"에 접근했지만, 어떤 조직이 영향을 받았는지는dent않았습니다. 

Salesforce는 침입이 고객 지원 및 분석 서비스 제공업체인 Gainsight가 개발한 애플리케이션을 통해 발생했다고 밝혔습니다.

그날 늦게, 구글의 사이버보안 부문 수석 위협 분석가이자 위협 인텔리전스 그룹의 오스틴 라슨은 회사가 "영향을 받을 가능성이 있는 Salesforce 인스턴스가 200개 이상 있다는 사실을 알고 있다"고 말했습니다. 

흩어진 Lapsus$ Hunters는 Gainsight의 통합을 통해 데이터에 접근했다는 혐의를 공개적으로 주장했으며, 도난한 정보를 이용해 다른 기업 고객을 표적으로 삼았습니다.

해당 단체 중 하나인 ShinyHunters의 대변인은 "Gainsight는 Salesloft Drift의 고객이었고, 우리로 인해 피해를 입었고 전적으로 피해를 입었습니다."라고 자랑했습니다. 

게인사이트는 공격이 공개된 이후dent 페이지에 업데이트를 게시해 왔습니다. 금요일, 게인사이트는 구글의dent 대응 부서인 맨디언트(Mandiant)와 협력하여 침해 사고 조사를 진행했다고 밝혔습니다. 

회사의 공개 업데이트에 따르면, Salesforce는 고객 데이터가 도난당한 경우 이를 알리는 것과 더불어 예방 조치로 Gainsight에 연결된 앱에 대한 활성 액세스 토큰을 일시적으로 취소했습니다. 

"허브스팟을 사용하는 고객은 예방 조치로 게인사이트 앱이 허브스팟 마켓플레이스에서 일시적으로 삭제될 수 있습니다. 이는 검토가 진행되는 동안 고객 연결에 대한 OAuth 접근에도 영향을 미칠 수 있습니다. 저희는 철저한 검토 후 허브스팟과 협력하여 재등록을 진행할 것입니다."라고 목요일에 발표된 진행 보고서에서 언급했습니다.

Scattered Lapsus$ 패밀리는 여러 가지 주목할 만한 침해 사건에 책임이 있습니다.

Scattered Lapsus$ Hunters는 ShinyHunters, Scattered Spider, Lapsus$를 포함한 여러 영어권 사이버 범죄 조직이 결성한 단체입니다. 이 단체는 소셜 엔지니어링 기법을 사용하여 직원들을 속여 로그인 정보를 유출시키거나, 원격 접근 권한을 부여하거나, 인증 메시지를 승인하도록 유도하는 것으로 유명해졌습니다. 

이 그룹은 이전에 MGM 리조트, 코인베이스, 도어대시, 워크데이, 아플락 보험등 대기업들을 공격 대상으로 삼았습니다. 지난 10월, 스캐터드 랩서스 헌터스는 세일즈포스를 이용해 고객 정보를 관리하는 기업들로부터 10억 건 이상의 기록을 탈취했다고 주장했습니다. 

그들은 보험 제공업체인 알리안츠 라이프, 항공사인 콴타스, 자동차 제조업체인 스텔란티스, 트랜스유니온, 직원 관리 플랫폼인 워크데이 등의 데이터를 나열한 유출된 디렉토리를 공개했습니다.

지난 1년 반 동안 Scattered Lapsus$ 패밀리는 Atlassian, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters, Verizon에서 발생한dent에 대한 책임을 주장했습니다. 

해커들은 텔레그램 채널을 통해 최근 공격의 대상이 된 회사를 대상으로 다음 주에 새로운 협박 웹사이트를 개설할 계획이라고 밝혔습니다. 

해커들은 DataBreaches.net에 자신들의 계획을 공유하며 "다음 데이터 유출 사이트에는 Salesloft와 GainSight 캠페인의 데이터가 포함될 것"이라고 밝혔습니다.