اگه فکر میکردید فقط تو فیلمها هکرها میان و زندگی شرکتهای بزرگ رو به هم میریزن، باید بگم حسابی اشتباه کردید! داستان واقعی اینبار درباره یه گروه هکری معروف به اسم ShinyHunters ـه که این روزا همه رو حسابی به دردسر انداختن. اسمشون رو هم شاید زیاد شنیده باشید، البته غیر از این اسم، به عنوان UNC6040 یا ترکیبی از گروههای مختلف مثل Lapsus$ و Scattered Spider هم شناخته میشن.
ماجرا از جایی شروع شد که این شینیهانترها با استفاده از یه روش فیشینگ صوتی یا Voice Phishing (یعنی همون سناریوی فیک تماس تلفنی برای گول زدن کارمندها تا یه برنامه مخرب رو به سیستم شرکتشون وصل کنن)، موفق شدن اطلاعات بیشتر از یه میلیارد رکورد از مشتریهای Salesforce رو بکشَن بیرون. Salesforce هم که یکی از غولهای نرمافزارای سازمانیه و کلی شرکت بزرگ دنیا – مثل Toyota، FedEx، Disney/Hulu، UPS و… – مشتریش هستن!
این اتفاقای عجیب غریب از ماه می ۲۰۲۵ شروع شد و کمکم ابعادش مشخصتر شد. اوایل ژوئن گروه تهدیدات گوگل، یعنی Google Threat Intelligence Group یا GTIG، هشدار داد که شینیهانترها دارن شرکتها رو به خاطر اطلاعات دزدیده شده از Salesforce تهدید و اخاذی میکنن و قراره یه سایت برای انتشار عمومی این اطلاعات راه بندازن تا مشتریها رو بیشتر تحت فشار بذارن.
یه ماه بعد، خود گوگل هم اعتراف کرد که یکی از اکانتهای Salesforce شرکتش از همین راه هک شده! خلاصه که کار بالا گرفته و دزدها برگ برنده رو روی میز گذاشتن.
چنتا اتفاق همزمان: مثلا هفته پیش وبلاگی به اسم Scattered LAPSUS$ Hunters اومد و اسم شرکتهایی رو که اطلاعاتشون هک شده (به خاطر همین فیشینگ صوتیها) منتشر کرد. تو همون سایت نوشته بودن: «اگه مذاکره نکنید و پول ندید، کل اطلاعات مشتریهاتون رو لو میدیم!» یه جور باجگیری دیجیتال به سبک سریالهای پلیسی.
تمام جزئیات اینکه چه روزی هر شرکت هک شده، چقدر داده ازشون دزدیدن و … هم زیر هر اسم نوشته بودن. طبق گفتهها، بازه خرابکاریها بین ماه می تا سپتامبر ۲۰۲۵ بوده.
این وسط فقط Salesforce نشونه نبود. هکرها مسئولیت یه هک بزرگ دیگه رو هم قبول کردن؛ این بار سراغ Red Hat رفتن (Red Hat هم یه شرکت معروف نرمافزارهای سازمانیه) و بیشتر از ۲۸هزار مخزن کد (repository– یعنی مخزنای ذخیرهسازی فایلهای برنامهنویسی) و بیشتر از ۵۰۰۰ گزارش ارتباط با مشتری (CER – Customer Engagement Report) رو دزدیدن. تو خیلی از این فایلها اطلاعات خیلی حساسی مثل توکنهای دسترسی به سرویسها (آرتیفکتوری، گیت، آژور، داکر و …) و جزئیات زیرساخت مشتریها، نقل و نبات پیدا شده بود!
البته سرقت Red Hat یه اپیزود جالب هم داشت. یه گروه دیگه به اسم Crimson Collective به طور همزمان ادعای این هک رو تو تلگرام کرد! بعد خودش Red Hat رسماً اعلام کرد که سرور GitLab شرکتش هک شده و دارن به مشتریهای آسیبدیده خبر میدن. GitLab هم در اصل فضاییه برای نگهداری و مدیریت پروژههای کد و توسعهدهندهها.
حالا بریم سراغ دیسکورد (Discord)، همون پلتفرم چَت و سرورها که خیلیا مخصوصاً گیمرها و برنامهنویسا استفاده میکنن. شینیهانترها از هک اخیر دیسکورد هم پرده برداشتن. اطلاعات کاربرها و حتی چهار رقم آخر کارت اعتباری و عکس مدارک هویتی کسایی که تایید سن انجام داده بودن، افتاده دست هکرها. البته دیسکورد گفته فقط تعداد کمی از کاربرها آسیب دیدن، ولی همینش هم میتونه دردسر درست کنه.
شینیهانترها تهدید کردن اگه Salesforce یا شرکتهای قربانی تا ۱۰ اکتبر باهاشون مذاکره نکنن و پول ندن، کل دادههای دزدیدهشده رو منتشر میکنن. حتی ادعا کردن بزودی کلی سازمان دیگه رو هم که تو هک Salesloft درگیر شدن، اخاذی خواهند کرد. Salesloft هم یه سامانه هوش مصنوعی چتبات مخصوص کسبوکارهاست تا از دل مکالمه با مشتریها، سرنخ فروش تو Salesforce تولید کنه. این وسط هم کلی توکن تایید هویت به سرقت رفته!
Salesforce قاطع گفته ما هیچ باجی نمیدیم و وارد مذاکره هم نمیشیم. اونها تاکید کردن که تمام تمرکزشون روی دفاع از سیستمها و همکاری با نیروهای پلیس و نهادهای نظارتی (Regulatory bodies – یعنی ارگانهایی که باید بر کار شرکتها و امنیتشون نظارت کنن) هست.
ولی ماجرا به اینجا ختم نشد. مثلاً هکرها از یه باگ امنیتی مهم تو Oracle E-Business Suite (یه نرمافزار سازمانی معروف) سو استفاده کردن که اگه اصلاح نشه، هکرها میتونن از راه دور کد اجرا کنن (یعنی هر فرمانی خواستن روی سرور اجرا کنن). این آسیبپذیری با کد CVE-2025-61882 ثبت شده و Oracle داره به همه میگه سریع بهروزرسانیهای لازم رو انجام بدن تا کار از کار نگذره.
در همین گیرودار، مثل فیلمهای هالیوودی یه ایمیل تهدیدآمیز هم به رسانه امنیتی KrebsOnSecurity رسیده بود؛ ایمیلی که توش یه فایل باجافزاری بود که خودش رو به شکل فایل اسکرینشات ویندوز زده بود. این همون چیزی بود که بهش میگن تروجان (Trojan – یه بدافزار که خودش رو پشت ظاهر یه فایل بیآزار قایم میکنه). حتی کافی بود فقط عکس رو باز کنید تا تروجان توی بکگراند فعال بشه (اینجا مدلش ASYNCRAT هست؛ یه برنامهی کنترل از راه دور که هکر ازش واسه دزدی داده یا رمز عبور و حتی استخراج ارز دیجیتال استفاده میکنه!).
یه نکته جالب دیگه هم اینه که گوگل و خیلی از شرکتهای امنیتی، برای اینکه بتونن این گروههای شیاد رو دنبال کنن، براشون چند تا اسم مختلف UNC اختصاص دادن (مثلاً UNC6395، UNC6240)؛ دلیلش هم اینه که ترکیبی از چند گروه هستن که توی چنلهای مختلف تلگرام و دیسکورد فعالیت دارن و هویتاشون بعضی جاها به هم گره خورده.
تو این داستان کلی پلیس و نهاد قضایی تو آمریکا و انگلیس درگیر شدن و دو تا نوجوان ۱۸ و ۱۹ ساله متهم به عضویت در گروه Scattered Spider (که یکی از همون زیرشاخههای شینیهانترز و Lapsus$ ـه) رو هم به اتهام اخاذی ۱۱۵ میلیون دلار بازداشت و محاکمه کردن! از اون طرف چند نفر دیگه هم به جرم سرقت دیتا و تهدید شرکتهای بزرگی مثل Marks & Spencer, Harrods، Co-op Group (یه مجموعه فروشگاهی انگلیسی) و حتی هکهای معروف MGM Resorts و Caesars Entertainment از ۲۰۲۳ تو لیست متهمها هستن. یکیشون حتی اسمش Tyler Robert Buchanan ـه و گفته شده اکثراً از طریق کلاهبرداری و سرقت هویت، بیش از ۲۶ میلیون دلار دزدیده بوده.
در کل میخوام بگم وقتی صحبت از هکرها و گروههای اخاذی دیجیتال میشه، دیگه فقط با چند تا نوجوون شیطون طرف نیستیم، بلکه گروههای بزرگی که تو تالارهای بحث و کانالهای ناشناس میچرخن دارن همچین پروژههایی رو اجرا میکنن. اینم یه زنگ خطر جدی برای هر کسبوکار و حتی کاربرای عادیه که چشم بسته به هر ایمیلی کلیک نکنن یا هر فایلی رو باز نکنن. امنیت دیجیتال، چیزی نیست که بشه شوخی گرفت!
منبع: +
