Thought Leadership
Google wurde Opfer der Shiny-Hunters-Angriffswelle auf Salesforce-Instanzen, die derzeit zahlreiche Konzerne trifft. Betroffen sind Kontaktdaten kleinerer und mittlerer Unternehmen.
Der Suchmaschinenriese hat einen Sicherheitsvorfall in seinen eigenen IT-Systemen eingeräumt. Wie das Unternehmen mitteilte, gelang es Cyberkriminellen im Juni, in eine interne Salesforce-Installation einzudringen und Daten abzugreifen. Der Tech-Konzern hatte vorher noch selbst vor solchen Angriffen gewarnt. Der Incident reiht sich in eine breit angelegte Angriffskampagne ein, die bereits mehrere Fortune-500-Unternehmen getroffen hat.
Kompromittierung der CRM-Infrastruktur
Nach Angaben von Googles Security-Team erfolgte die Kompromittierung durch den Bedrohungsakteur UNC6040. Google berichtet, dass sich UNC6040 in der Vergangenheit als Partner der berüchtigten Shiny-Hunters-Gruppe dargestellt hat. Aktuelle Berichte von BleepingComputer deuten jedoch darauf hin, dass wieder die bekannte Cybercrime-Organisation Shiny Hunters dafür direkt verantwortlich ist. Die Angreifer verschafften sich Zugang zu einer Salesforce-Umgebung und kopierten dort hinterlegte Kontaktdaten sowie zugehörige Metadaten von KMU-Kunden.
Im Juni war eine der Salesforce-Instanzen von Google von ähnlichen UNC6040-Aktivitäten betroffen, wie sie in diesem Beitrag beschrieben werden. Google reagierte auf die Aktivität, führte eine Auswirkungsanalyse durch und leitete Maßnahmen zur Schadensbegrenzung ein. Die Instanz wurde zur Speicherung von Kontaktinformationen und zugehörigen Notizen für kleine und mittlere Unternehmen verwendet. Die Analyse ergab, dass die Daten vom Angreifer während eines kurzen Zeitfensters vor der Unterbrechung des Zugriffs abgerufen wurden. Die vom Angreifer abgerufenen Daten beschränkten sich auf grundlegende und weitgehend öffentlich zugängliche Geschäftsinformationen, wie Firmennamen und Kontaktdaten.
Shiny Hunters operiert nach einem Multi-Stage-Angriffsmuster. Die Gruppe spezialisiert sich auf Voice-Phishing-Attacken (Vishing) und nutzt Social-Engineering-Techniken zur initialen Kompromittierung von Cloud-Services.
Große Angriffswelle
Der Google-Incident ist Teil einer umfassenden Kompromittierungs-Kampagne über Salesforce-Infrastrukturen. Zu den bereits bestätigten Opfern zählen internationale Konzerne wie Adidas, Allianz Life, Cisco Systems sowie die LVMH-Töchter Dior und Louis Vuitton. Auch der dänische Schmuckhersteller Pandora A/S meldete entsprechende Sicherheitsvorfälle.
Obwohl Salesforce selbst keine Systemkompromittierung bestätigt, zeigen die Vorfälle die Verwundbarkeit von Cloud-Kunden gegenüber gezielten Social-Engineering-Attacken.
