سرقت داده بیش از ۲۰۰ شرکت یکی از بزرگترین حملات زنجیرهای اخیر در حوزه امنیت سایبری است که نشان میدهد حتی شرکتهایی که از سرویسهای ابری و سیستمهای مدیریت مشتری استفاده میکنند نیز میتوانند هدف حملات سازمانیافته قرار بگیرند. اهمیت این موضوع از آن جهت است که امنیت دادههای تجاری در کسبوکارهای امروزی نقش حیاتی دارد و هرگونه نفوذ زنجیرهای میتواند دهها یا حتی صدها سازمان را همزمان تحت تأثیر قرار دهد.
سرقت داده بیش از ۲۰۰ شرکت چگونه رخ داد؟
گوگل تأیید کرده است که هکرها توانستهاند دادههای ذخیرهشده در Salesforce بیش از ۲۰۰ شرکت را سرقت کنند. این حمله پس از آن انجام شد که شرکت Salesforce اعلام کرد دادههای برخی از مشتریان آن از طریق اپلیکیشنهای منتشرشده توسط Gainsight مورد نفوذ قرار گرفته است. Gainsight یک پلتفرم مدیریت ارتباط با مشتری است که شرکتهای مختلف از آن برای تحلیل تعاملات مشتریان خود استفاده میکنند.
به گفته Austin Larsen از تیم Google Threat Intelligence، این شرکت از بیش از «۲۰۰ نمونه Salesforce که احتمالاً آسیبدیدهاند» مطلع است. این موضوع ابعاد وسیع حمله را تأیید میکند.
مسئولیت حمله: گروههای Scattered Lapsus$ Hunters و ShinyHunters
پس از اعلام Salesforce، گروه معروف و نسبتاً ناشناس Scattered Lapsus$ Hunters — که شامل اعضای گروه ShinyHunters نیز هست — با انتشار پیامی در تلگرام ادعا کرد مسئول این حمله است. این گروه اعلام کرد به دادههای شرکتهایی همچون Atlassian، CrowdStrike، Docusign، F5، GitLab، Linkedin، Malwarebytes، SonicWall، Thomson Reuters و Verizon دسترسی پیدا کرده است.
واکنش شرکتها به ادعای نفوذ
- CrowdStrike اعلام کرد که این شرکت تحت تأثیر قرار نگرفته و همه دادههای مشتریان امن هستند. همچنین اعلام شد که یک «عامل داخلی مشکوک» بهدلیل همکاری با هکرها اخراج شده است.
- Verizon ادعای هکرها را «بیاساس» عنوان کرد.
- Malwarebytes اعلام کرد در حال بررسی موضوع است.
- Thomson Reuters نیز بررسیهای امنیتی خود را آغاز کرده است.
- Docusign گفت که هیچ نشانهای از سرقت داده مشاهده نشده است، اما تمامی اتصالهای مرتبط با Gainsight را برای احتیاط قطع کرده است.
ریشه نفوذ: حمله قبلی به سرویس Drift
هکرهای گروه ShinyHunters در گفتوگو با TechCrunch اعلام کردند که دسترسی آنها به Gainsight از طریق حمله قبلی به کاربران Salesloft و سرویس Drift بوده است. در آن حمله، هکرها توکنهای احراز هویت Drift را سرقت کردند و توانستند با استفاده از همان توکنها وارد Salesforce شرکتهای مختلف شوند.
Gainsight تأیید کرده بود که در حمله Drift بهعنوان یکی از قربانیان حضور داشته و همین موضوع باعث شد دسترسی هکرها به این پلتفرم نیز فراهم شود.
موضع Salesforce: مشکل از ما نبود
Salesforce در بیانیهای اعلام کرد که «هیچ نشانهای وجود ندارد که این حادثه ناشی از یک ضعف در پلتفرم Salesforce باشد.» این شرکت در اقدامی پیشگیرانه، تمامی توکنهای دسترسی اپلیکیشنهای Gainsight را بهطور موقت غیرفعال کرد و به مشتریان آسیبدیده اطلاع داد.
اقدامات Gainsight پس از حمله
Gainsight در صفحه رسمی وضعیت خود اعلام کرد که با همکاری تیم واکنش به حادثه Mandiant (متعلق به گوگل) در حال بررسی حمله است. این شرکت توضیح داد که ریشه حمله مربوط به اتصال خارجی اپلیکیشنها بوده و نه نقص امنیتی در Salesforce. بررسیهای قانونی و تکنیکی همچنان ادامه دارد.
برنامه باجگیری هکرها
گروه Scattered Lapsus$ Hunters اعلام کرده که قصد دارد یک وبسایت اختصاصی برای اخاذی از شرکتهای قربانی راهاندازی کند؛ مشابه اقدامی که در حملات مشابه ماههای گذشته انجام داده بودند. این گروه ترکیبی از چندین باند هکری است که با استفاده از مهندسی اجتماعی، کارکنان شرکتها را فریب داده و دسترسیهای داخلی را سرقت میکنند.
نتیجهگیری
حمله سایبری اخیر و سرقت داده بیش از ۲۰۰ شرکت نشان میدهد که زنجیره تأمین دیجیتال، حتی با وجود سیستمهای پیشرفته امنیتی، همچنان آسیبپذیر است. کسبوکارها باید نظارت بیشتری بر سرویسهای متصل، اپلیکیشنهای جانبی و سیاستهای دسترسی داشته باشند. چنین حملاتی ثابت میکند که ضعف در یک نقطه میتواند دهها شرکت را تحت تأثیر قرار دهد و امنیت دادهها باید در تمام سطوح جدی گرفته شود.
پیشنهاد مطالعه و مشاوره
اگر میخواهید درباره امنیت دادهها، حملات زنجیرهای و محافظت از سیستمهای ابری بیشتر بدانید، پیشنهاد میکنیم مقالات مرتبط ما را مطالعه کنید یا برای دریافت مشاوره امنیت سایبری با تیم تخصصی ما تماس بگیرید.
منبع
منبع: TechCrunch – ترجمه و بازنویسی اختصاصی
