Safecode

Fuites de données Google Salesforce

Fuite de données Google : le géant victime des attaques ShinyHunters via Salesforce

,

/

Hugo Lefebvre

Google vient de confirmer une fuite de données majeure après avoir été victime d’une violation dans le cadre d’une vaste campagne d’attaques menée par le groupe d’extorsion ShinyHunters contre les instances Salesforce de grandes entreprises.

Le géant technologique a révélé mardi qu’une de ses instances Salesforce d’entreprise avait été ciblée par des acteurs de menace en juin, confirmant ainsi cette Google fuite de données dans le cadre d’une campagne qui a frappé plusieurs grandes entreprises. Cette révélation intervient alors que Google avait justement alerté sur ces mêmes attaques quelques semaines plus tôt, démontrant que même les entreprises les mieux informées ne sont pas à l’abri de ces techniques de vishing sophistiquées.

La technique de vishing employée par UNC6040

Google Threat Intelligence Group (GTIG) suit UNC6040, un cluster de menaces financièrement motivé qui se spécialise dans les campagnes de vishing spécifiquement conçues pour compromettre les instances Salesforce des organisations pour le vol de données à grande échelle et l’extorsion subséquente.

Dans ces attaques, les acteurs de menace se faisaient passer pour du personnel de support informatique lors d’appels téléphoniques vers des employés ciblés, tentant de les persuader de visiter la page de configuration des applications connectées de Salesforce. Les victimes étaient ensuite invitées à saisir un « code de connexion » qui reliait une version malveillante de l’application OAuth Data Loader de Salesforce à l’environnement Salesforce de la cible.

Le détournement du data loader de salesforce

Une tactique prévalente dans les opérations d’UNC6040 implique de tromper les victimes pour qu’elles autorisent une application connectée malveillante sur le portail Salesforce de leur organisation. Cette application est souvent une version modifiée du Data Loader de Salesforce, non autorisée par Salesforce.

Dans certains cas, le composant Data Loader était renommé « My Ticket Portal » pour le rendre plus convaincant lors des attaques. Cette technique particulièrement insidieuse exploite la confiance des employés envers leur support informatique interne et détourne un outil légitime de Salesforce pour en faire un vecteur d’attaque.

Ses opérateurs se font également passer pour le support informatique, mais avec l’objectif spécifique de tromper les employés pour qu’ils naviguent vers la page des applications connectées de Salesforce et autorisent une version malveillante contrôlée par l’acteur de l’application Data Loader.

L’impact de la fuite de données Google et les informations compromises

L’instance était utilisée pour stocker des informations de contact et des notes associées pour les petites et moyennes entreprises. L’analyse a révélé que les données ont été récupérées par l’acteur de menace pendant une petite fenêtre de temps avant que l’accès ne soit coupé.

Google a précisé que « les données récupérées par l’acteur de menace se limitaient à des informations commerciales de base et largement disponibles publiquement, telles que les noms d’entreprises et les détails de contact ». Bien que l’impact soit relativement limité dans cette Google fuite de données, cette intrusion démontre l’efficacité des techniques employées par UNC6040.

La véritable identité derrière unc6040

Google classe les acteurs de menace derrière ces attaques comme ‘UNC6040’ ou ‘UNC6240’. Cependant, BleepingComputer, qui suit ces attaques, a appris qu’un acteur de menace notoire connu sous le nom de ShinyHunters est derrière les attaques.

Il est plausible que l’acteur de menace ait l’intention de vendre les données au lieu de les partager publiquement. Cette approche s’alignerait avec l’activité antérieure du groupe ShinyHunters. Le groupe est également associé à « The Com », un réseau de cybercriminels expérimentés anglophones.

Une escalade vers les sites de fuite de données

« Nous croyons que les acteurs de menace utilisant la marque ‘ShinyHunters’ pourraient se préparer à escalader leurs tactiques d’extorsion en lançant un site de fuite de données (DLS). Ces nouvelles tactiques sont susceptibles d’être destinées à augmenter la pression sur les victimes, y compris celles associées aux récentes violations de données liées à Salesforce d’UNC6040. »

Cette évolution tactique représente une menace significative pour les organisations, car les sites de fuite de données permettent aux attaquants d’exercer une pression publique supplémentaire sur leurs victimes.

Les victimes de la campagne unc6040

D’autres entreprises impactées dans ces attaques incluent Adidas, Qantas, Allianz Life, Cisco, et les filiales LVMH Louis Vuitton, Dior, et Tiffany & Co. Le magasin de bijoux Pandora a également divulgué une violation de données cette semaine et l’entreprise était reportedly une cible de la même campagne.

Le montant des rançons exigées

BleepingComputer a appris qu’une entreprise a déjà payé 4 Bitcoins, soit environ 400 000 dollars, pour empêcher la fuite de ses données. Cette somme considérable témoigne de l’impact financier potentiel de ces attaques pour les organisations victimes.

L’infrastructure technique d’unc6040

UNC6040 utilisait une infrastructure pour accéder aux applications Salesforce qui hébergeait également un panneau de phishing Okta. Ce panneau était utilisé pour tromper les victimes et les faire visiter depuis leurs téléphones mobiles ou ordinateurs de travail pendant les appels d’ingénierie sociale.

L’infrastructure utilisée par UNC6040 inclut des adresses IP VPN Mullvad et le réseau TOR pour anonymiser ses activités d’accès et d’exfiltration. Cette approche multicouche démontre la sophistication technique du groupe, qui combine des techniques de manipulation psychologique avec des outils d’anonymisation avancés.

Évolution des tactiques d’exfiltration

Non seulement les tactiques, techniques et procédures (TTPs) de ShinyHunters ont évolué et sont devenues plus variées depuis l’année dernière, elles ont même changé depuis juin. Selon la mise à jour du 5 août, UNC6040 utilise maintenant des IP VPN Mullvad et TOR, et des scripts Python personnalisés à la place de l’application Data Loader modifiée.

Les mécanismes de défense contre le vishing

La protection contre ces attaques nécessite une approche multicouche combinant contrôles techniques et sensibilisation humaine.

Durcissement des configurations salesforce

Pour atténuer cette menace, GTIG souligne l’importance d’un modèle de responsabilité partagée et recommande une stratégie de défense en profondeur avec les mesures suivantes : Principe du moindre privilège : Limiter strictement les permissions d’accès aux données, en particulier la permission « API Enabled » requise pour des outils comme Data Loader.

Les organisations doivent également implémenter une gestion rigoureuse des applications connectées : Mettre en place un processus de révision et d’approbation pour toutes les applications externes qui se connectent à l’environnement Salesforce.

Restrictions basées sur l’adresse ip

Pour les organisations utilisant Salesforce, Google recommande de restreindre les permissions « API Enabled », de limiter l’autorisation d’installation d’applications, et de bloquer l’accès depuis les VPN commerciaux comme Mullvad.

Formation et sensibilisation

Mandiant recommande aux organisations de considérer les meilleures pratiques suivantes pour renforcer leur périmètre externe et développer des canaux de communication sécurisés, particulièrement ceux impliquant le support informatique et la vérification des employés.

Former le personnel du service d’assistance à effectuer rigoureusement une vérification d’identité positive pour tous les employés avant de modifier des comptes ou de fournir des informations sensibles en matière de sécurité (y compris lors de l’inscription initiale).

L’enjeu du facteur humain dans la sécurité

L’efficacité des campagnes d’ingénierie sociale repose sur une reconnaissance extensive. La diminution de la prévalence des interactions sociales en personne et les structures informatiques distantes, comme un service d’assistance externalisé, ont normalisé l’engagement des employés avec du personnel externe ou moins familier.

Cette normalisation du travail à distance et des services externalisés crée un terrain fertile pour les attaques de vishing, rendant les employés plus susceptibles d’interagir avec des personnes qu’ils ne connaissent pas physiquement.

L’industrialisation du vishing

« UNC6040 et ShinyHunters ont industrialisé le voice phishing pour pénétrer le ventre mou des SaaS tiers, où les contrôles en couches s’effondrent une fois qu’un initié accepte de les contourner », explique Jason Soroko, senior fellow chez Sectigo.

Les leçons à retenir de l’incident google

L’ironie de cette situation n’échappe pas aux experts en sécurité. « Google a publié le manuel de jeu mais a quand même perdu des données, ce qui montre que les contrôles en couches s’effondrent une fois qu’un initié accepte de les contourner », souligne un expert.

Cette Google fuite de données souligne que même les entreprises technologiques les plus avancées, disposant des meilleures équipes de sécurité au monde, restent vulnérables aux attaques de vishing sophistiquées. Le facteur humain demeure le maillon faible de la chaîne de sécurité, quel que soit le niveau de sophistication technique de l’organisation.

La campagne UNC6040 illustre parfaitement l’évolution des menaces cybernétiques modernes, où les attaquants privilégient de plus en plus la manipulation psychologique aux exploits techniques. Face à cette réalité, les organisations doivent repenser leurs stratégies de sécurité en accordant une importance égale aux aspects techniques et humains de la cybersécurité.

Fuite de données Google : questions fréquentes

Qu’est-ce que le vishing et comment fonctionne-t-il ?

Le vishing (voice phishing) est une technique d’ingénierie sociale où les attaquants se font passer pour du personnel de support informatique au téléphone pour tromper les employés et obtenir des accès non autorisés à leurs systèmes.

Qui est le groupe ShinyHunters ?

ShinyHunters est un groupe de cybercriminels financièrement motivé, responsable de nombreuses violations de données majeures, notamment les attaques Snowflake, PowerSchool et maintenant cette campagne contre Salesforce.

Comment UNC6040 compromet-il les instances Salesforce ?

UNC6040 utilise des appels de vishing pour convaincre les employés d’autoriser une version malveillante du Data Loader de Salesforce, donnant aux attaquants un accès API complet pour exfiltrer des données.

Quelles entreprises ont été victimes de cette campagne ?

Parmi les victimes confirmées figurent Google, Cisco, Adidas, Qantas, Allianz Life, Dior, Louis Vuitton, Tiffany & Co et Pandora.

Comment protéger son organisation contre le vishing ?

Les défenses incluent la restriction des permissions API, la gestion rigoureuse des applications connectées, les restrictions IP, et surtout la formation des employés aux techniques d’ingénierie sociale.

Quel est le lien entre UNC6040 et Scattered Spider ?

Les experts notent des chevauchements dans les tactiques entre UNC6040 et Scattered Spider, avec des liens possibles vers le collectif cybercriminel « The Com ».

Étiquettes :

, , , , , , ,

Hugo Lefebvre

Passionné par la cybersécurité et le développement d’outils de protection des systèmes d’information, avec des expériences dans le secteur de la sécurité réseau et de la protection des données. J’occupe différents rôles : ingénieur en sécurité applicative, consultant technique, et rédacteur pour Safecode.fr, où je partage analyses, bonnes pratiques et retours d’expérience autour de la sécurité informatique.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *