Google a admis qu’il faisait partie des victimes de la campagne de vol de données liée à Salesforce découverte pour la première fois par sa propre équipe Intel de menace.
Google a maintenant confirmé qu’il a également été touché par les attaques de vol de données Salesforce à l’origine découvertes par son propre groupe de renseignements sur les menaces (GTIG) en juin.
Dans une mise à jour du 5 août de sa divulgation de juin sur une campagne de phishing vocale en cours (Vishing) ciblant les clients de Salesforce, Google a révélé que les informations relatives à certains de ses propres clients étaient compromises.
« En juin, l’une des instances de Salesforce de Google a été touchée par une activité UNC6040 similaire décrite dans ce post », a déclaré Google dans la mise à jour de la divulgation de juin qui a révélé des détails sur les attaques de «phishing vocal à l’extorsion des données». « L’instance a été utilisée pour stocker les informations de contact et les notes connexes pour les petites et moyennes entreprises », a noté le message.
La campagne est attribuée à un groupe de menaces Google suit en tant que UNC6040, qui, après avoir enfreint Salesforce, se déplace latéralement sur les services cloud, ciblant des outils comme Okta, Microsoft 365 et Workplace pour élargir la portée de la violation.
Selon David Stuart, l’évangéliste de la cybersécurité, Sentra, le vol de données hébergées par Google est logique. « Cette violation est la dernière d’une série d’attaques ciblant les environnements Salesforce, de Qantas à Pandora et maintenant Google », a-t-il déclaré. «C’est un signal clair que les attaquants se concentrent sur l’endroit où les données sont les plus concentrées et souvent les moins visibles – dans les applications SAAS Cloud.»
Les données volées sont accessibles au public: Google
Selon la mise à jour, la violation est susceptible d’avoir un impact minimal en raison de la nature des données volées. « Les données récupérées par l’acteur de menace se sont confinées aux informations commerciales de base et largement accessibles au public, telles que les noms d’entreprise et les coordonnées », a indiqué la mise à jour.
L’équipe de sécurité de Google a pu contenir le vol au milieu. « L’analyse a révélé que les données ont été récupérées par l’acteur de menace pendant une petite fenêtre de temps avant la coupe de l’accès », a déclaré Google. Lors de la divulgation de juin, le chef du cloud avait dit quelque chose de similaire sans se nommer comme victime. « Dans un cas, un acteur de menace a utilisé de petites tailles de morceaux pour l’exfiltration des données de Salesforce, mais n’a pu récupérer qu’environ 10% des données avant la détection et l’accès à la révocation », avait-il noté.
Google n’a pas commenté si elle était consciente du vol de ses propres données tout en divulguant la campagne.
Les conséquences à long terme de la violation peuvent être plus graves, a averti Ben McCarthy, ingénieur de cybersécurité principale chez Immersif. « Un problème clé est que les informations personnelles accessibles dans ces attaques, telles que les noms et les dates de naissance, sont les informations qui ne peuvent pas être modifiées », a-t-il déclaré. «Ces détails, ainsi que les adresses e-mail, sont armées par les cybercriminels pour les attaques de phishing.»
Cette préoccupation est en outre amplifiée par les acteurs de la menace eux-mêmes, qui auraient confirmé (partiellement) la violation et affirmé qu’ils envisagent simplement de fuir les données au lieu d’extorquer Google.
Les attaquants ont peut-être également réclamé une brèche Google
GTIG avait également divulgué des activités d’extorsion liées aux intrusions UNC6040, parfois effectuées plusieurs mois après le vol de données initial, par un autre groupe de menaces, UNC6240, qui s’est identifié comme le célèbre Breachforums Admin « Shinyhunters ».
À l’époque, l’équipe du GTIG avait présumé que la prétention était un coup pour exercer une pression sur les victimes pour accélérer les paiements, qui devaient être effectués en bitcoins dans les 72 heures.
Bien que l’attribution n’ait pas encore été confirmée, un rapport BleepingComputer indique qu’il a eu une conversation avec Shinyhunters le lundi 5 août, qui a affirmé avoir violé de nombreux instances Salesforce dans une attaque en cours, dont une entreprise de milliards de dollars, sans confirmer que ce soit Google. Shinyhunters aurait également déclaré à Bleepingcomputers de leurs plans «qui divulguent les données» pour les données volées à cette entreprise.
Cette révélation est particulièrement intéressante étant donné les rapports d’une arrestation présumée de Shinyhunters, ainsi que quatre autres administrateurs de BreachForums, dont Intelbroker, par la police française à la mi-juin.
Les préoccupations sont susceptibles de dégénérer si les shinyhunters sont en effet derrière ces attaques. L’ancien administrateur du tristement célèbre site de piratage de BreachForums est depuis longtemps un élément dans le paysage de la cyber-étape. Parmi les affirmations les plus de haut niveau du groupe figurent des violations impliquant PowerSchool, Oracle Cloud, Snowflake Data-Theft, AT&T et les référentiels privés GitHub de Microsoft.
