سودافاكس – كشفت شركة جوجل عن واحدة من أكبر عمليات الاختراق الإلكتروني التي طالت سلسلة التوريد خلال العام الجاري، بعد تمكن قراصنة من الوصول إلى بيانات أكثر من 200 شركة مخزّنة على منصة Salesforce، وذلك عبر استغلال تطبيقات تابعة لشركة Gainsight المتخصصة في إدارة علاقات العملاء.
موظف سابق في CIA ينفذ أكبر سرقة بيانات في تاريخ الاستخبارات
وقالت شركة Salesforce إن الهجوم نُفّذ عبر تطبيق خارجي تابع لـ Gainsight دون وجود أي ثغرة في منصتها، بينما أكد أوستن لارسن، كبير محللي التهديدات في فريق Google Threat Intelligence، أن جوجل تتابع ما يزيد عن 200 حالة اختراق محتملة بين عملاء Salesforce.
مجموعة Scattered Lapsus$ Hunters تتبنى الهجوم
أعلنت مجموعة القرصنة Scattered Lapsus$ Hunters، التي تضم عصابات شهيرة مثل ShinyHunters، مسؤوليتها عن الهجوم عبر قناة في تطبيق تيليجرام. وادعت المجموعة أن الاختراق استهدف شركات عالمية كبرى من بينها:
Atlassian، CrowdStrike، Docusign، F5، GitLab، LinkedIn، Malwarebytes، SonicWall، Thomson Reuters، Verizon.
لكن عدداً من الشركات نفت تأثرها، حيث أكدت CrowdStrike أن بياناتها آمنة، بينما قالت Verizon إنها على علم بادعاءات غير موثقة، وأوضحت Docusign أن تحقيقاتها الداخلية لم ترصد أي خروقات.
اختراق Gainsight بدأ من حملة سابقة
وكشف قراصنة ShinyHunters لموقع TechCrunch أن الوصول إلى Gainsight كان نتيجة سلسلة اختراقات مترابطة، بدأت حين استهدف المهاجمون شركة Salesloft — مزود منصة Drift — وتمكنوا من سرقة رموز مصادقة خاصة بـ Drift، مما أتاح لهم اختراق خوادم Salesforce التابعة لعملائها.
وقد اعترفت Gainsight سابقاً بأنها تعرضت للاختراق ضمن الهجوم الأول، ما أدى إلى امتداد سلسلة الثغرات وصولاً إلى الخرق الأخير واسع النطاق.
Salesforce: لا ثغرة في منصتنا والاختراق جاء من تطبيق خارجي
أكدت Salesforce أن منصتها الأساسية لم تتعرض لأي اختراق مباشر، وأن الحادث سببه اتصال خارجي غير آمن من تطبيقات Gainsight، مشيرة إلى أنها أوقفت مؤقتاً رموز الوصول الخاصة بهذه التطبيقات للحد من الضرر وإيقاف تمدد الهجوم.
أما Gainsight فأوضحت أنها تعمل بالتعاون مع فريق Mandiant التابع لجوجل لإجراء تحليل جنائي شامل، مؤكدة أن الاختراق لم يكن نتيجة ثغرة داخل Salesforce.
تهديد بالابتزاز وإطلاق موقع مخصص للضحايا
وأعلنت مجموعة Scattered Lapsus$ Hunters عبر تيليجرام عزمها إطلاق موقع إلكتروني لنشر بيانات الضحايا وابتزاز الشركات المتضررة خلال الأسبوع المقبل — وهي طريقة ابتزاز أصبحت علامة مميزة لعمليات هذه العصابات خلال السنوات الأخيرة.
من يقف وراء الهجوم؟
تتكون المجموعة من ثلاث عصابات سيئة السمعة: ShinyHunters، Scattered Spider، Lapsus$، وهي عصابات تعتمد بشكل كبير على الهندسة الاجتماعية لخداع موظفي الشركات والحصول على بيانات الدخول. وقد سبق لها تنفيذ هجمات ضخمة استهدفت شركات مثل MGM Resorts، Coinbase، DoorDash وغيرها.
