اختراق واسع يضرب سلسلة التوريد.. سرقة بيانات أكثر من 200 شركة عبر منصة Salesforce

أكدت شركة جوجل وقوع عملية اختراق واسعة أدّت إلى تسريب بيانات حساسة محفوظة عبر منصة Salesforce، في حادثة طالت أكثر من 200 شركة حتى الآن.

ويأتي هذا الكشف عقب إعلان Salesforce عن خرق لبيانات عدد من عملائها عبر تطبيقات تابعة لشركة Gainsight، المتخصصة في حلول دعم وإدارة علاقات العملاء.

وبحسب Salesforce، فقد استغل المهاجمون ثغرات في تطبيقات Gainsight للوصول إلى بيانات مؤسسية، من دون الكشف عن هوية المتضررين.

فيما أوضح أوستن لارسن، كبير محللي التهديدات في Google Threat Intelligence Group، أن الشركة تتابع أكثر من 200 حالة اختراق مرتبطة بالحادث.

وبعد ساعات من انتشار الخبر، أعلنت مجموعة Scattered Lapsus$ Hunters – والتي تضم عصابات سيئة السمعة مثل ShinyHunters – مسؤوليتها عن الهجوم عبر قناة على تطبيق تيليجرام، مدّعية اختراق شركات كبرى بينها:

Atlassian، CrowdStrike، Docusign، F5، GitLab، LinkedIn، Malwarebytes، SonicWall، Thomson Reuters، Verizon.

لكن عددًا من هذه الشركات سارع إلى تكذيب الادعاءات؛ إذ أكدت CrowdStrike سلامة بياناتها، بينما قالت Verizon إن ما تروّجه المجموعة مجرد “مزاعم غير مدعومة”.

كما أكدت Docusign أن تحقيقاتها الداخلية لم تكشف عن أي خرق.

وكشفت ShinyHunters لموقع “تك كرانش” أن الوصول إلى تطبيقات Gainsight كان نتيجة حملة اختراق سابقة استهدفت عملاء شركة Salesloft، المزود لخدمة Drift للدردشة الإلكترونية وروبوتات التسويق.

وفي تلك العملية، تمكن القراصنة من سرقة رموز مصادقة خاصة بـ Drift، ما منحهم قدرة كاملة على الوصول إلى خوادم Salesforce المربوطة بعملائها، في حلقة جديدة من سلسلة اختراقات متتابعة أدت إلى الانفجار الأمني الحالي.

وقد أقرت Gainsight سابقًا بأنها كانت من ضحايا الهجوم ذاته، مما يعكس ثغرات متداخلة سمحت بتمدد القراصنة عبر بنية الشركات المتصلة.

وأكدت Salesforce عدم وجود أي ثغرة في منصتها، مشيرة إلى أن الاختراق جاء من “تطبيق خارجي”، وأن الشركة سارعت إلى إلغاء رموز الوصول الخاصة بتطبيقات Gainsight لمنع انتشار الضرر.

من جهتها، أعلنت Gainsight أنها تتعاون مع فريق Mandiant التابع لجوجل لإجراء تحقيق جنائي شامل، مع التأكيد على أن الهجوم نتج عن “اتصال خارجي” لا علاقة له ببنية Salesforce.

وفي تطور مقلق، أعلنت مجموعة Scattered Lapsus$ Hunters عبر تيليجرام نيتها إطلاق موقع إلكتروني للابتزاز خلال الأسبوع المقبل، في خطوة تعكس الأسلوب الذي بات علامة فارقة في عملياتها، بعدما استخدمت منصات مشابهة للضغط على ضحايا اختراقات سابقة.

تتكون المجموعة من عدة عصابات إلكترونية شهيرة عالميًا، منها:

ShinyHunters، Scattered Spider، Lapsus$.

وتعتمد هذه المجموعات على الهندسة الاجتماعية كوسيلة أساسية لاختراق المؤسسات، عبر خداع الموظفين وسرقة بيانات اعتمادهم، وهي الأساليب ذاتها التي مكّنتها سابقًا من اختراق شركات كبرى مثل:

MGM Resorts، Coinbase، DoorDash.