פאלו אלטו ו-Cloudflare מצטרפות לרשימת הקורבנות מהפריצה ל-Salesloft Drift
שתי החברות חשפו שנפגעו ממתקפת שרשרת האספקה ומזהירות כי נגנבו טוקנים ונתוני תמיכה שעלולים לשמש במתקפות נוספות
תמונה: Dreamstime
הפריצה לאפליקציית Salesloft Drift ממשיכה להכות גלים ברחבי העולם, כשביממה האחרונה שתי חברות ענק הודיעו שגם הן נפלו לדלף מידע לאחר שהתוקפים הצליחו להשיג אסימוני OAuth ו-refresh tokens שאיפשרו להם להתחבר לסביבות Salesforce של לקוחות ולשלוף משם מידע רגיש. שתי החברות, פאלו אלטו ו-Cloudflare, מצטרפות כעת לרשימה הולכת וגדלה של ארגונים שנפגעו ממתקפת שרשרת האספקה.
האחרונה בשרשרת היא Cloudflare, שהודיעה כי במהלך הפריצה נחשפו 104 טוקני API שהונפקו על ידי החברה. לטענתה, התוקפים אספו מידע במשך חמישה ימים בין 12 ל-17 באוגוסט, לאחר שהצליחו לחדור לסביבת הסיילספורס שלה כבר ב-9 באוגוסט והמתינו לשעת כושר.
בחברה חשפו כי במהלך הפריצה נגנבו תכני קריאות ופרטי קשר עסקיים כמו שם חברה, דוא"ל, טלפון ודומיין. Cloudflare רעננה את כל הטוקנים שנגנבו עוד לפני שעדכנה את לקוחותיה אתמול (2 בספטמבר) וציינה כי אין עדויות לשימוש זדוני בהם. יחד עם זאת, היא המליצה ללקוחות להתייחס לכל נתון ששיתפו במערכת התמיכה כאל מידע גלוי וחשוף, כולל סיסמאות או לוגים, ולבצע רענון של האישורים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
Palo Alto Networks: חשיפת קריאות תמיכה
גם פאלו אלטו נטוורקס אישרה כי נפגעה במסגרת אותה מתקפה. לדבריה, האירוע הוגבל למופעי ה-CRM שלה ב-Salesforce ולא השפיע על מוצרי החברה או על מערכות הליבה. החברה דיווחה כי התוקפים גנבו בעיקר פרטי קשר עסקיים, מידע מחשבונות מכירה פנימיים ונתונים בסיסיים מקריאות תמיכה. לא נגנבו קבצי תמיכה או מסמכים, אלא טקסט בלבד.
חקירת Unit 42 של החברה העלתה כי התוקפים ביצעו הוצאה מסיבית של נתונים מאובייקטים בסיילספורס כמו Account, Contact, Case ו-Opportunity ואז סרקו אותם בחיפוש אחר פרטי גישה. בין היתר הם חיפשו מפתחות גישה ל-AWS (AKIA), טוקנים של Snowflake, פרטי התחברות ל-VPN ול-SSO ואף מילות מפתח כלליות כמו "password" או "secret". החברה ציינה שהתוקפים מחקו שאילתות כדי להקשות על חקירה פלילית והסתירו את מקורם באמצעות Tor.
טקטיקה שיטתית
הקמפיין, שזוהה על ידי צוות מודיעין האיומים של גוגל תחת הקוד UNC6395, עושה שימוש בכלים אוטומטיים שפותחו ב-Python כדי להוציא נתונים בהיקפים גדולים. המטרה המרכזית של התוקפים: לאסוף סודות ואישורי גישה, שניתן לנצל לחדירה לפלטפורמות ענן נוספות ולמתקפות סחיטה עתידיות.
לדברי Palo Alto Networks, מדובר באירוע המחייב תגובה דחופה מצד כל ארגון שעשה שימוש באינטגרציה עם Drift. החברה המליצה לבדוק לוגים של Salesforce ושל ספקי זהות, לבטל ולבצע רוטציה של כל האישורים והטוקנים, ולסרוק מאגרי קוד כדי לוודא שאין בהם מפתחות חשופים.
מאז תחילת השנה, סיילספורס נמצאת על הכוונת של קבוצת ShinyHunters, שמבצעת מתקפות גניבת מידע באמצעות הנדסה חברתית ו-vishing. במקרים קודמים הם גרמו לעובדים לקשר אפליקציות OAuth זדוניות למופעי Salesforce, מה שאיפשר להם להוריד בסיסי נתונים ולסחוט את הקורבנות.
כעת, בפרצת Drift, הם עקפו את הצורך בהטעיית עובדים וקיבלו גישה ישירה באמצעות אסימוני OAuth שנפרצו. מלבד Cloudflare ו-Palo Alto Networks, גם Zscaler וגוגל עצמה דיווחו על פגיעה.
בגוגל מדגישים כי אין ראיות חד־משמעיות לכך שהאירוע הנוכחי מקושר ישירות ל-ShinyHunters, אך החוקרים מזהירים כי מאות ארגונים ברחבי העולם כבר נפגעו, וכי הנתונים שנאספו ישמש כנראה בסיס למתקפות ממוקדות נוספות בעתיד.
