Saleslofti andmete rikkumine
Ulatuslik küberrünnak on kahjustanud Saleslofti integratsiooni Drift AI vestlusagendiga, võimaldades häkkeritel varastada OAuthi ja värskendustokeneid. Ohu tegija, keda jälgiti kui UNC6395, kasutas neid varastatud tokeneid ära Salesforce'i kliendikeskkondade rikkumiseks. Turbeeksperdid on tuvastanud potentsiaalselt mõjutatud organisatsioonidena üle 700.
Sisukord
Rikkumise ajajoon
Juurdlused näitavad, et pahatahtlik tegevus kestis 8. augustist kuni 18. augustini 2025. Selle aja jooksul kasutasid ründajad Salesforce'i eksemplaridesse tungimiseks Driftiga seotud ohustatud OAuth-tokeneid. Kui nad olid sisse jõudnud, eksportisid nad tohutul hulgal ettevõtte andmeid, eesmärgiga koguda tundlikke volitusi, näiteks:
- Amazon Web Services'i (AWS) juurdepääsuvõtmed
- Paroolid
- Lumehelvestega seotud märgid
Rünnakumeetodid ja kaubandus
Selle kampaania eristub UNC6395 metoodilise täpsuse tõttu. Nad ei korraldanud ühekordset sissetungi, vaid käivitasid struktureeritud ja korduvaid rünnakuid sadade Salesforce'i klientide vastu. Peamised tähelepanekud on järgmised:
Distsiplineeritud täitmine – päringuid käivitati süstemaatiliselt volituste tuvastamiseks ja hankimiseks.
Operatiivne teadlikkus – ründajad kustutasid päringutöid, et varjata oma tegevuse jälgi.
Sihtmärgi valik – Paljud rünnaku ohvriks langenud organisatsioonid olid tehnoloogia- ja turvafirmad, mis viitab sellele, et tegemist võib olla tarneahelasse sissetungimise katsega.
Tarnijate ja teenusepakkujate ohtu seadmisega positsioneeris rühm end rünnakute laiendamiseks klientide ja partnerite ökosüsteemidesse.
Saleslofti ja Salesforce’i vastus
Salesloft avaldas 20. augustil 2025 teate, milles tunnistas rikkumist ja kinnitas, et on tühistanud kõik Drifti ja Salesforce'i ühendused. Salesforce järgnes oma avaldusega, märkides, et otseselt mõjutatud oli vaid „väikest arvu kliente“. Mõlemad ettevõtted on pärast intsidenti viivitamatult samme astunud:
- Kehtetuks tunnistatud aktiivsed juurdepääsu- ja värskendustokenid
- Drift eemaldati AppExchange'ist
- Koostöö rünnaku ohjeldamiseks ja mõju hindamiseks
Salesloft rõhutas, et intsident ei mõjuta organisatsioone, millel pole Salesforce'i integratsioone.
Laiem ohumaastik
Salesforce'i keskkonnad on üha enam muutunud tulusateks sihtmärkideks rahaliselt motiveeritud gruppidele. Teised klastrid, näiteks UNC6040 ja UNC6240 (ShinyHunters), on tuntud SaaS-keskkondade ärakasutamise poolest, kusjuures UNC6240 teeb esmase juurdepääsu kampaaniate jaoks isegi koostööd Scattered Spideriga (UNC3944).
Praegu puuduvad tõendid, mis seostaksid UNC6395 nende rühmitustega, mistõttu on tegemist uue ja eraldiseisva ohuklastriga. Selle kampaania ulatus, fookus ja keerukus paigutavad selle aga samasse kõrge riskiga vastaste liigasse.
Leevendamine ja järgmised sammud
Salesloft on kaasanud uurimiste ja parandusmeetmete toetamiseks kolmandate osapoolte turvateenuste pakkujaid. Ettevõte kutsub administraatoreid üles Salesforce'i ühendusi uuesti autentima, et taastada integratsioonid ja võtta täiendavaid turvameetmeid.
Peamised soovitused hõlmavad järgmist:
- Olemasolevate API-võtmete tühistamine ja vahetamine
- Drifti integratsioonide taasühendamine uute võtmetega
- Logide ülevaatamine kahtlaste päringute ja võimaliku andmete lekke suhtes
- Mõju kindlakstegemiseks põhjalikumate uuringute läbiviimine
Organisatsioonidele, kes haldavad Drifti ühendusi API-võtmete kaudu, on tungivalt soovitatav ennetav võtmevahetus. OAuth-integratsioonidega tegeleb Salesloft aga juba otse.
Lõplik kokkuvõte
See kampaania toob esile SaaS-ökosüsteemides kolmandate osapoolte integratsioonide kasvavaid riske. Varastatud OAuth-tokenite kuritarvitamisega näitas UNC6395 võimet läbi viia sihipäraseid, varjatud ja tarneahelale suunatud operatsioone. See sündmus tuletab meelde, et pilvepõhised platvormid, kuigi võimsad, jäävad peamisteks sihtmärkideks ohtude tegijatele, kes püüavad ära kasutada usaldussuhteid kogu digitaalses tarneahelas.
