جزئیات تازه از حمله سایبری Salesloft Drift به کلودفلر

در جریان حمله سایبری Salesloft Drift به کلودفلر، مهاجمان به ۱۰۴ توکن API دسترسی پیدا کردند؛ هرچند شرکت پیش‌از افشا همه را جایگزین کرد.

به گزارش تک‌ناک،‌ شرکت کلودفلر، یکی از ارائه‌دهندگان بزرگ‌ خدمات اینترنتی، اعلام کرد که در حمله‌ای سایبری زنجیره تأمین موسوم به Salesloft Drift دچار نقض داده شده است. این حادثه بخشی از موج اخیر حملات به سازمان‌های مختلف است که هفته گذشته افشا شد.

کلودفلر دیروز (۲ سپتامبر) اعلام کرد که مهاجمان توانسته‌اند به یکی از نمونه‌های Salesforce این شرکت که برای مدیریت پرونده‌های داخلی و پشتیبانی مشتریان استفاده می‌شود، دسترسی پیدا کنند. در این نمونه، ۱۰۴ توکن API مربوط به کلودفلر وجود داشت که درمعرض خطر قرار گرفت.

کلودفلر ۲۳ آگوست از این حادثه مطلع شد و ۲ سپتامبر مشتریان آسیب‌دیده را مطلع کرد. پیش‌از اطلاع‌رسانی عمومی، این شرکت تمام ۱۰۴ توکن افشا‌شده را تغییر داد تا از سوءاستفاده احتمالی جلوگیری کند. با‌این‌حال، تاکنون نشانه‌ای از فعالیت مشکوک مرتبط با این توکن‌ها شناسایی نشده است.

کلودفلر در بیانیه‌ای توضیح داد:

بیشتر داده‌های به‌سرقت‌رفته شامل اطلاعات تماس مشتریان و داده‌های اولیه پرونده‌های پشتیبانی بوده است. با‌این‌حال، در برخی مواقع تعاملات پشتیبانی می‌توانست شامل اطلاعات حساس‌تری مانند توکن‌های دسترسی یا جزئیات پیکربندی مشتریان باشد.

براساس نتایج تحقیقات، مهاجمان بین ۱۲ تا ۱۷ آگوست موفق شدند تنها متن پرونده‌های Salesforce را سرقت کنند. این داده‌ها شامل موضوع پرونده و متن آن (در صورت وجود اطلاعات حساس ارسال‌شده توسط مشتریان) و جزئیات تماس مانند نام شرکت، ایمیل، شماره تلفن، دامنه اینترنتی و کشور شرکت بوده است.

کلودفلر تأکید کرد:

این حادثه اتفاقی جداگانه نبوده است و مهاجمان قصد داشته‌اند با جمع‌آوری اعتبارنامه‌ها و اطلاعات مشتریان، حملات بیشتری را در آینده ترتیب دهند.

به گفته این شرکت، با توجه به آسیب‌دیدن صدها سازمان در این حمله، احتمالاً مهاجمان از داده‌ها برای انجام حملات هدفمند علیه مشتریان استفاده خواهند کرد.

شرکت کلودفلر اعلام کرد که به دلیل یک حمله زنجیره تأمین که پلتفرم‌های ثالث Salesloft و Drift را هدف قرار داده، داده‌های مدیریت ارتباط با مشتریان و اطلاعات پشتیبانی آن‌ها به دست مهاجمان افتاده است.

از ابتدای سال جاری، گروه باج‌گیر ShinyHunters با استفاده از روش‌های مهندسی اجتماعی و فیشینگ صوتی (Vishing) کارکنان شرکت‌ها را فریب داده و آنان را وادار کرده است تا برنامه‌های مخرب OAuth را به نمونه‌های Salesforce متصل کنند. این شیوه به مهاجمان امکان دسترسی به پایگاه‌های داده و سپس اخاذی از قربانیان را داده است.

به نقل از بلیپینگ کامپیوتر، از ماه ژوئن که گوگل برای نخستین بار درباره این حملات هشدار داد، چندین سازمان بزرگ ازجمله خود گوگل، سیسکو، کانتاس، آلیانز لایف، فارمرز اینسورنس، ورک‌دی، آدیداس و همچنین شرکت‌های زیرمجموعه LVMH شامل لویی ویتون و دیور و Tiffany & Co هدف قرار گرفته‌اند. درحالی‌که برخی پژوهشگران امنیتی معتقدند که حملات اخیر Salesloft با همان مهاجمان در ارتباط است، گوگل هنوز مدرک قطعی در این زمینه پیدا نکرده است.

شرکت Palo Alto Networks نیز در روزهای اخیر تأیید کرد که مهاجمان بخشی از داده‌های پشتیبانی مشتریان ازجمله اطلاعات تماس و یادداشت‌های متنی را در همین حملات سرقت کرده‌اند. این حادثه فقط به Salesforce CRM مربوط بوده و هیچ‌یک از محصولات یا سیستم‌های این شرکت را تحت‌تأثیر قرار نداده است.

به گفته این شرکت امنیت سایبری، مهاجمان در تلاش بوده‌اند تا به کلیدهای دسترسی AWS، رشته‌های ورود VPN و SSO، توکن‌های Snowflake و حتی کلیدواژه‌هایی مانند «secret» و «password» و «key» دست یابند تا از آن‌ها در حملات اخاذی گسترده‌تر استفاده کنند.