Naruszenie danych Salesloft
Zakrojony na szeroką skalę cyberatak naruszył integrację Salesloft z agentem czatu Drift AI, umożliwiając hakerom kradzież tokenów OAuth i odświeżania. Atakujący, śledzony jako UNC6395, wykorzystał te skradzione tokeny do włamania się do środowisk klientów Salesforce. Eksperci ds. bezpieczeństwa zidentyfikowali ponad 700 organizacji jako potencjalnie dotkniętych atakiem.
Spis treści
Oś czasu naruszenia
Śledztwo ujawniło, że szkodliwa aktywność trwała od 8 do 18 sierpnia 2025 roku. W tym okresie atakujący wykorzystali przejęte tokeny OAuth powiązane z Driftem do infiltracji instancji Salesforce. Po włamaniu wyeksportowali ogromne ilości danych korporacyjnych, dążąc do zdobycia poufnych danych uwierzytelniających, takich jak:
- Klucze dostępu do Amazon Web Services (AWS)
- Hasła
- Tokeny związane z płatkami śniegu
Metody ataków i sztuczki handlowe
Tym, co wyróżnia tę kampanię, jest metodyczna precyzja ataku UNC6395. Nie przeprowadzono jednorazowego włamania, lecz przeprowadzono ustrukturyzowane i powtarzalne ataki na setki najemców Salesforce. Kluczowe obserwacje obejmują:
Dyscyplinowane wykonywanie zadań – zapytania mające na celu identyfikację i wyodrębnienie danych uwierzytelniających były uruchamiane systematycznie.
Świadomość operacyjna – atakujący usunęli zadania zapytań, aby ukryć ślady swoich działań.
Wybór celu – Wiele z organizacji, których bezpieczeństwo padło ofiarą ataku, to dostawcy technologii i zabezpieczeń, co sugeruje, że mogła to być próba infiltracji łańcucha dostaw.
Atakując dostawców i usługodawców, grupa przygotowała się na rozszerzenie ataków na ekosystemy klientów i partnerów.
Odpowiedź firm Salesloft i Salesforce
Firma Salesloft wydała ostrzeżenie 20 sierpnia 2025 r., potwierdzając naruszenie i unieważniając wszystkie połączenia Drift–Salesforce. Salesforce wydał własne oświadczenie, zaznaczając, że bezpośrednio dotknięta została jedynie „niewielka liczba klientów”. Obie firmy podjęły natychmiastowe kroki po incydencie:
- Unieważnione aktywne tokeny dostępu i odświeżania
- Usunięto Drift z AppExchange
- Współpracowano w celu powstrzymania ataku i oceny jego skutków
Firma Salesloft podkreśliła, że incydent nie ma wpływu na organizacje, które nie korzystają z integracji Salesforce.
Szerszy krajobraz zagrożeń
Środowiska Salesforce stają się coraz bardziej lukratywnym celem dla grup motywowanych finansowo. Inne klastry, takie jak UNC6040 i UNC6240 (ShinyHunters), są znane z wykorzystywania środowisk SaaS, a UNC6240 współpracuje nawet ze Scattered Spider (UNC3944) w kampaniach dostępu początkowego.
Obecnie nie ma dowodów łączących UNC6395 z tymi grupami, co czyni go nowym i odrębnym skupiskiem zagrożeń. Skala, ukierunkowanie i wyrafinowanie jego kampanii plasują go jednak w tej samej lidze przeciwników wysokiego ryzyka.
Łagodzenie i dalsze kroki
Firma Salesloft zaangażowała zewnętrznych dostawców rozwiązań bezpieczeństwa, aby wspomóc dochodzenia i działania naprawcze. Firma apeluje do administratorów o ponowne uwierzytelnienie połączeń Salesforce w celu przywrócenia integracji i podjęcia dodatkowych środków bezpieczeństwa.
Do najważniejszych zaleceń należą:
- Cofanie i rotacja istniejących kluczy API
- Ponowne łączenie integracji Drift z nowymi kluczami
- Przeglądanie dzienników w celu wykrycia podejrzanych zapytań i potencjalnego ujawnienia danych
- Przeprowadzenie głębszych badań w celu określenia wpływu
W przypadku organizacji zarządzających połączeniami Drift za pomocą kluczy API zdecydowanie zaleca się proaktywną rotację kluczy. Integracje OAuth są jednak już obsługiwane bezpośrednio przez Salesloft.
Ostateczne wnioski
Ta kampania uwypukla rosnące ryzyko związane z integracją z rozwiązaniami zewnętrznymi w ekosystemach SaaS. Wykorzystując skradzione tokeny OAuth, UNC6395 zademonstrował zdolność do przeprowadzania ukierunkowanych, dyskretnych operacji zorientowanych na łańcuch dostaw. Wydarzenie to przypomina, że platformy chmurowe, choć potężne, pozostają głównym celem ataków cyberprzestępców, którzy próbują wykorzystać relacje zaufania w cyfrowym łańcuchu dostaw.
