Spowodowało to cyberatak wykorzystujący aplikację innych firm naruszenia danych Według wielu instancji Salesforce, według Google’s Ground Intelligence Group. Ataki, przypisywane grupie śledzonej jako UNC6395, wykorzystane na szwank tokeny OAuth powiązane z aplikacją Drift Salesloft do exfiltratowych danych wrażliwych.
Google’s Ground Intelligence Group (GTIG) zidentyfikowała UNC6395 jako sprawcę kampanii „powszechnej kradzieży danych”. Kampania ta, która rozpoczęła się około 8 sierpnia i trwała co najmniej 18 sierpnia, ukierunkowała instancje Salesforce, wykorzystując tokeny uwierzytelniania należące do Salesloft Drift aplikacja. Ta aplikacja, zaprojektowana do automatyzacji procesów sprzedaży, integruje się z bazami danych Salesforce w celu komunikacji, analizy i zaangażowania klientów. Uszkodzone tokeny ułatwiły nieautoryzowany dostęp do wrażliwych informacji przechowywanych w ukierunkowanych systemach.
Głównym celem UNC6395 była systematyczna ekstrakcja dużych ilości danych z wielu instancji Salesforce Corporate. Naukowcy GTIG wskazali, że celem aktora było zbiór wrażliwych poświadczeń, koncentrując się na kluczy dostępu Amazon Web Services (AWS) (AKIA), hasłach i tokenach dostępu związanych z płatkiem śniegu. Po wyodrębnianiu informacje te można wykorzystać w celu uzyskania nieautoryzowanego dostępu do różnych systemów i usług.
Po wykluczeniu danych, UNC6395 przeprowadził wyszukiwania w skradzionych informacji w celu zidentyfikowania tajemnic, które mogłyby być potencjalnie wykorzystane do naruszenia środowisk ofiar. GTIG stwierdził, że aktor stosował określone zapytania do zidentyfikowania tych poświadczeń. Aby ukryć swoje działania, grupa następnie usunęła zadania zapytania, próbując usunąć dowody kradzieży danych. Usunięcie tych dzienników utrudniało pełny zakres naruszenia, chociaż GTIG dostarczyło wskazówek dotyczących zbadania potencjalnej ekspozycji na dane.
GTIG wydał zalecenia dotyczące naprawy i łagodzenia, podkreślając, że wpływ kampanii wydaje się być ograniczony do klientów Salesloft, którzy integrują swoje rozwiązania z usługą Salesforce. Nie ma dowodów sugerujących bezpośredni wpływ na klientów Google Cloud. Jednak GTIG poinformował jednak, że wszyscy klienci korzystający z SalesLoft Drift powinni przeglądać swoje obiekty Salesforce dla dowolnych kluczy konta serwisowego Google Cloud Platform, ponieważ mogły zostać ujawnione podczas kradzieży danych.
Biorąc pod uwagę charakter ataku, GTIG wezwał organizacje wykorzystujące Drift zintegrowane z Salesforce do rozważenia swoich danych Salesforce i do podjęcia kroków natychmiastowych. Kroki te zostały zaprojektowane tak, aby zawierać naruszenie i zapobiegać dalszemu nieautoryzowanemu dostępowi.
Aby rozwiązać sytuację, Salesloft współpracował z Salesforce w celu odwołania wszystkich aktywnych dostępu i odświeżenia tokenów powiązanych z aplikacją Drift. Działanie to miało na celu zapobieganie ciągłego nieautoryzowanego dostępu za pośrednictwem zagrożonych tokenów. Ponadto Salesforce usunęła aplikację Drift z Salesforce AppExChange w oczekiwaniu na dalsze dochodzenie, dzięki czemu jest niedostępna dla nowych instalacji do momentu rozwiązania problemów bezpieczeństwa. GTIG, Salesforce i Salesloft powiadomiły organizacje, które mają wpływ na kradzież danych.
Przed tym incydentem wiele znanych firm, w tym Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday i Google, zgłosiło naruszenia za pośrednictwem platformy stron trzecich, która podobno była Salesforce. Grupa zagrożeń ShinyHunters twierdziła, że za wiele z tych ataków stwierdziła odpowiedzialność za ataki, w których ataki wizażu wymieniono jako podstawową metodę kompromisu. Te wcześniejsze naruszenia podkreślają podatność systemów opierających się na integracji stron trzecich.
W czerwcu Google poinformowało, że zmotywowana finansowo grupa zagrożeń, śledzona jako UNC6040, podszywała się pod personel wspierający IT w atakach w celu uzyskania dostępu do środowisk sprzedaży organizacji. Google stwierdził, że UNC6040 twierdził, że jest błyszczącymi. Korzystając z tych taktyk, UNC6040 naruszył jedną z własnych instancji Salesforce Google. W raporcie podkreślono rosnące wyrafinowanie podmiotów zagrożeń w celu celowania w środowiska Salesforce za pomocą technik inżynierii społecznej.
Podczas gdy harmonogram tych wcześniejszych naruszeń Salesforce pokrywa się z aktywnością dryfu SalesLoft UNC6395, Google wyjaśnił, że metody kompromisu są wyraźnie różne. Google stwierdził, że aktywność dryfu SalesLoft UNC6395 jest oddzielona od ataków Vishing przypisywanych UNC6040. Rzecznik GTIG potwierdził, że nie ma przekonujących dowodów łączących dwie kampanie, co wskazuje, że naruszenia są niezależnymi wydarzeniami prowadzonymi przez różnych podmiotów zagrożenia.
Oprócz już podjętych etapów naprawy zaleca się, aby organizacje dotknięte poszukiwanie poufnych informacji i tajemnic zawartych w obiektach Salesforce i podjęte odpowiednie działania. Działania te obejmują cofanie klawiszy API, obracanie poświadczeń i przeprowadzanie dalszych badań w celu ustalenia, czy tajemnice zostały wykorzystane przez UNC6395. Organizacje powinny również zbadać kompromis i skanowanie w poszukiwaniu odsłoniętych tajemnic, stosując wskaźniki kompromisu (MKOC) dostarczone przez GTIG, takie jak adresy IP i ciągi użytkownika-agentowe zidentyfikowane w Post na blogu Mandiant. Zaleca się również szersze poszukiwanie aktywności pochodzących z węzłów wyjściowych TOR.
Dalsze kroki łagodzenia obejmują przegląd dzienników monitorowania zdarzeń Salesforce pod kątem niezwykłej aktywności powiązanej z użytkownikiem połączenia dryfu, aktywność uwierzytelniania z aplikacji podłączonej do dryfu oraz unikalne zdarzenia, które rejestrowały zapytania SOQL. Organizacje mogą również otworzyć sprawę wsparcia Salesforce, aby uzyskać określone zapytania stosowane przez aktora zagrożonego i wyszukiwać obiekty Salesforce w poszukiwaniu potencjalnych tajemnic. Zaleca się również natychmiastowe odwołanie i rotacja odkrytych klawiszy lub tajemnic, resetowanie haseł i konfigurowanie wartości limitu czasu sesji w ustawieniach sesji w celu ograniczenia żywotności sesji zagrożonej.
Google doradził również organizacjom, aby utwardzali kontrolę dostępu, zapewniając, że aplikacje mają minimalne niezbędne uprawnienia, wymuszając ograniczenia IP w podłączonej aplikacji i definiowanie zakresów IP loginu, aby umożliwić dostęp tylko z zaufanych sieci. Środki te mają na celu zmniejszenie powierzchni ataku i ograniczenie potencjalnego wpływu przyszłych kompromisów.
