خب بچهها، بیا براتون یه داستان باحال و البته خیلی جدی رو تعریف کنم از دنیای امنیت سایبری و هکرهایی که این روزا خیلیها رو به دردسر انداختن. اصل ماجرا اینه که سایتها و شرکتهای بزرگ از یه چتبات هوشمند به اسم Salesloft استفاده میکنن تا تعامل با مشتریهاشون رو راحتتر کنن و مثلاً اینترکشنها رو مستقیم به سرنخهای فروش تو Salesforce تبدیل کنن (Salesforce یه سیستم CRM یا مدیریت ارتباط با مشتری معروفه). اما، همین Salesloft کلی دردسر درست کرد! ماجرا اینجوریه:
چند وقت پیش کلی اطلاعات حیاتی از Salesloft به سرقت رفت، یعنی هکرها اومدن توکن احراز هویت (Authentication Token یعنی رمزهایی که به نرمافزار اجازه میده به سرویسهای مختلف وصل بشه) رو برداشتن و کار کلی از شرکتها رو زار کردن. تازه، فقط دیتاهای Salesforce نبود، بلکه هکرها تونستن به اطلاعات سرویسهای دیگه مثل Slack (چت سازمانی)، Google Workspace (مجموعه سرویسهای گوگل مثل جیمیل و درایو و… برای شرکتها)، Amazon S3 (فضای ذخیره ابری آمازون)، Microsoft Azure (پلتفرم ابری مایکروسافت)، و OpenAI (همون شرکت معروف هوش مصنوعی) هم دسترسی پیدا کنن!
Salesloft خودش تو سایتش نوشته که بالای ۵۰۰۰ تا مشتری داره و اسامی شرکتای بزرگ رو هم زده بود. خلاصه کلی سازمان از این ماجرا ضربه خوردن.
همهچی از ۲۰ آگوست ۲۰۲۵ شروع شد. Salesloft اعلام کرد که یه مشکل امنیتی جدی تو نرمافزار Drift (اون پلتفرم پشت چتباتها) کشف شده و از مشتریها خواست که دوباره ورود به Drift و Salesforce رو تایید کنن تا رمزهای قبلی غیرفعال بشه. اما اون موقع اصلاً نگفت که رمزها لو رفته و هکرها دارن ازش استفاده میکنن!
کم کم همه فهمیدن قضیه خیلی جدیتره. گروه تهدید اطلاعاتی گوگل (Google Threat Intelligence Group یا GTIG) گفت که هکرهایی با اسم UNC6395 با استفاده از همین رمزهای دزدیده شده، کلی اطلاعات از سرورهای Salesforce سازمانها کش رفتن و این کار از ۸ تا ۱۸ آگوست طول کشیده. جالبه که این ماجرا ربطی به آسیبپذیری تو خود Salesforce نداره، بلکه فقط از رمزی که دستشون اومده سواستفاده کردن.
هکرها توی اطلاعات دزدی دنباله چی بودن؟ دنبال اطلاعات دسترسی، مثل کلید AWS (کلیدهای آمازون برای دسترسی به سرور)، اطلاعات ورود VPN (که برای وصل شدن امن به شبکه شرکت استفاده میشه)، حتی رمزهای Snowflake (یه سرویس مطرح برای ذخیره داده در فضای ابری).
حالا تصور کن اگه هکر به همچین چیزهایی دست پیدا کنه، میتونه نه فقط خود شرکت بلکه مشتریها و حتی شریکهای تجاریش رو هم مورد حمله و دزدی اطلاعات قرار بده.
بعد گوگل تو ۲۸ آگوست یه آپدیت دیگه زد و گفت که هکرها حتی ایمیلهایی که روی بعضی از حسابهای خاص Google Workstation بوده (اینها حسابهایی بودن که به Salesloft وصل شده بودن) رو هم تونستن بخونن. گوگل اعلام کرد همه شرکتایی که از Salesloft Drift برای اتصال به سیستمهای مختلف مثل Salesforce و غیره استفاده میکنن، باید فرض کنن اطلاعاتشون هک شده و سریع رمزها رو بیاعتبار کنن.
همون روز Salesforce اعلام کرد اتصال Drift به سرویسهاش – حتی Slack و Pardot (پلتفرم بازاریابی Salesforce) – رو مسدود کرده تا از گسترش این فاجعه بیشتر جلوگیری کنه.
همهی این اتفاقات درست بعد از یه موج بزرگ حملات مهندسی اجتماعی به شرکتها بود. مهندسی اجتماعی یعنی هکرها با ترفند و حقه و بعضی وقتا حتی تماس تلفنی (تو انگلیسی بهش Voice Phishing هم میگن) سعی میکنن آدمها رو فریب بدن تا بهشون مجوز دسترسی بدن. این مدل حملهها باعث دزدی اطلاعات و بعدش اخاذی از شرکتهایی مثل آدیداس، Allianz Life و Qantas شد!
گوگل خودش قبلاً اعلام کرده بود که یکی از حسابهای Salesforce شرکتیشون هم هک شده و یه گروه تهدید با اسم UNC6040 (UNC، یعنی گروههای تهدید طبقهبندی نشده) پشتش بوده. این گروه کلی تهدید کرده و گفته که میخواد با باجگیری و لو دادن اطلاعات بازی رو بزرگتر کنه.
یکی دیگه از اسمای مطرح بین این هکرها “ShinyHunters” هست (یه گروه ترسناک و مرموز که از سال ۲۰۲۰ کلی دیتابیس دزدی رو لو داده و عضوهاش تو انجمنهای تلگرام و دیسکورد فعالیت دارن). حتی بعضیا میگن overlap یا همپوشانی ابزارها و روشهای این گروه با یه گروه باجگیری دیگه به اسم “Scattered Spider” نشون میده که احتمالاً نخ میدوان هر دو طرف.
از طرف دیگه، تو تلگرام یه کانالی به اسم “Scattered LAPSUS$ Hunters 4.0” راه افتاد که نزدیک ۴۰ هزار عضو جمع کرد و ادعا میکنن مسئول هک Salesloft هستن، اما هنوز هیچ مدرک دست اول ارائه نکردن و فعلاً فقط سروصدا راه انداختن و حتی محققهای امنیتی گوگل و بقیه رو تهدید به افشای اطلاعات کردن. حتی دارن تبلیغ یه انجمن جدید خلافکاری به اسم “Breachstars” رو هم میکنن که ظاهراً قراره دیتای دزدی شرکتهایی که باج ندادهن رو اونجا بذارن.
با این حال، متخصصای امنیتی گوگل معتقدن فعلاً سند محکمی نداریم که با قطعیت بگیم کدوم گروه دقیقاً پشت ماجرای Salesloft بوده. آقای Austin Larsen از گوگل گفته که فعلاً خیلی از حرفای این کانال فقط کپی از خبرهای عمومیه و نمیتونیم اعتماد کنیم.
در نهایت، کل ماجرا نشون میده یه مشکل بنیادی به اسم “authorization sprawl” تو شرکتا هست؛ یعنی چی؟ یعنی وقتی شما برای هر سرویس آنلاین کلی رمز و توکن دارین که به اپلیکیشنها و حسابهای مختلف وصلن و دقیقاً همینجاست که هکرها با دزدی این توکنهای قانونی میتونن بین سیستمهای ابری و داخلی شرکت هر طور دوست دارن حرکت کنن و نه نرمافزار مخرب خاصی استفاده میکنن و نه لازم دارن رمز جدید بسازن. این موضوع باعث میشه خیلی وقتا حمله شون راحت تشخیص داده نشه چون دقیقاً از دسترسیهایی استفاده میکنن که صاحب اصلی اون مجوزها داشت.
الان هم Salesloft اعلام کرده شرکت معروف امنیتی Mandiant (یه تیم واکنش به بحران سایبری متعلق به گوگل کلود) رو آورده تا ریشه ماجرا رو بررسی کنن و هنوز معلوم نیست دقیقاً چطور این توکنها لو رفته.
خلاصه اگر شما هم از سرویسهایی مثل Salesloft، Drift یا هرچیزی که به چند تا پلتفرم خارجی وصل میشه استفاده میکنید، پیشنهاد اکید اینه که سریع رمزها رو عوض کنید و همه اتصالهای قبلی رو بیاعتبار کنید، چون این روزا حملات سایبری دقیقه به دقیقه پیچیدهتر و خطرناکتر میشن!
منبع: +
