Când o posibilă breșă pare să implice chiar instrumentele folosite de forțele de ordine, gravitatea situației crește imediat. Google a confirmat că în platforma sa destinată solicitărilor către autorități, LERS, a fost înregistrat un cont fals, dar compania susține că acel cont a fost dezactivat și că nu au fost trimise cereri și nici nu au fost accesate date.
LERS este utilizat de agențiile de aplicare a legii pentru trimiterea citațiilor, mandatelor judecătorești și cererilor urgente către Google, astfel încât posibilitatea creării unui cont fals acolo este alarmantă. Pe Telegram, un grup care se autointitulează Scattered Lapsus$ Hunters a pretins că a obținut acces atât la portalul LERS, cât și la sistemul eCheck al FBI. Grupul a publicat capturi de ecran care arată presupusa accesare și, ulterior, a anunțat că „se retrag” sau că vor „intra în tăcere”. FBI a refuzat să comenteze aceste afirmații.
Grupul pretinde legături cu alte colective cunoscute recent, Shiny Hunters, Scattered Spider și Lapsus$, și a fost implicat în numeroase atacuri de furt de date vizând instanțe Salesforce. Tacticile folosite au inclus inginerie socială pentru a păcăli angajați să conecteze unelte precum Data Loader la instanțele corporative, permițând astfel exfiltrarea datelor și ulterior șantajul. De asemenea, au profitat de scăpări în depozite de cod, cum a fost cazul Salesloft pe GitHub, utilizând instrumente precum Trufflehog pentru a identifica tokenuri de autentificare care le-au facilitat atacuri ulterioare.
Lista companiilor vizate de aceste campanii este lungă și include nume mari precum Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik și Palo Alto Networks. Echipa de Threat Intelligence a Google (Mandiant) a detectat inițial atacurile asupra Salesforce și Salesloft și a avertizat organizațiile să-și consolideze protecția. De atunci, membrii grupului au provocat și au tachinat FBI, Google, Mandiant și cercetători în securitate prin mesaje pe canale Telegram și pe forumuri de scurgeri.
Într-o postare mai amplă pe un domeniu asociat BreachForums, grupul a sugerat că nu vor mai comunica public și că au „ales tăcerea ca strategiei”. Totuși, cercetători în securitate contactați de BleepingComputer consideră că aceste declarații nu indică neapărat sfârșitul activității lor; mai degrabă, atacurile ar putea continua, dar cu o vizibilitate redusă.
Detaliile concrete din acest caz, un cont creat în LERS care a fost dezactivat, sesizări pe Telegram, revendicări legate de eCheck al FBI și un istoric de atacuri asupra platformelor Salesforce și Salesloft, scot în evidență câteva aspecte esențiale: necesitatea unui control strict al accesului la instrumentele sensibile folosite de autorități, riscul continuu al ingineriei sociale și importanța unui răspuns rapid și transparent din partea companiilor afectate. Datele arată că astfel de grupuri combină metode tradiționale, precum phishingul, cu scanări avansate ale codului pentru a descoperi secrete expuse, ceea ce impune măsuri tehnice și procedurale complementare.
Google a declarat ferm că nu au fost trimise cereri și că nu s-au accesat date, însă afirmațiile grupului și anteriorul istoric al atacurilor similare cer o vigilență sporită din partea instituțiilor și firmelor care gestionează date sensibile. Viitorul acestor grupuri rămâne incert; chiar și anunțurile despre „going dark” pot face parte dintr-un joc psihologic menit să creeze confuzie sau să distragă atenția de la activități continue. Modul în care vor răspunde instituțiile și companiile vulnerabile va fi probabil decisiv pentru limitarea daunelor viitoare.
Google LERS, FBI eCheck și atacurile asupra Salesforce sunt exemple care arată că infrastructura digitală a instituțiilor și a marilor corporații rămâne vulnerabilă. Măsurile de securitate trebuie să includă verificări riguroase ale conturilor cu privilegii, monitorizare continuă și instruire anti-inginerie socială pentru angajați. Creșterea frecvenței incidentelor și tacticile mixte ale grupurilor demonstrează că protecția perimetrală simplă nu mai este suficientă.
Întrebarea mea: ce măsuri concrete considerați că ar trebui implementate de companii precum Google și instituții ca FBI pentru a împiedica crearea conturilor frauduloase în sisteme sensibile?
Fii primul care comentează