Googleは、ハッカーが同社の法執行機関リクエストシステム(LERS)プラットフォームに不正なアカウントを作成したことを認めました。このプラットフォームは、法執行機関が公式なデータリクエストをGoogleに提出するために使用されています。
「当社の法執行機関リクエスト用システムに不正なアカウントが作成されたことを確認し、そのアカウントを無効化しました」とGoogleはBleepingComputerに語りました。
「この不正アカウントによるリクエストは行われておらず、データへのアクセスもありませんでした。」
FBIはこの脅威アクターの主張についてコメントを控えました。
この発表は、「Scattered Lapsus$ Hunters」と名乗る脅威アクターグループが、Telegram上でGoogleのLERSポータルおよびFBIのeCheckバックグラウンドチェックシステムへのアクセスを得たと主張した後に出されたものです。
このグループは、木曜日に「闇に消える」と発表した直後、自らのアクセスを示すスクリーンショットを投稿しました。
ハッカーの主張は、LERSおよびFBIのeCheckシステムが世界中の警察や情報機関によって召喚状、裁判所命令、緊急開示リクエストの提出に使用されているため、懸念を呼び起こしました。
不正アクセスにより、攻撃者が法執行機関になりすまして、本来保護されるべき機密ユーザーデータにアクセスする可能性があります。
「Scattered Lapsus$ Hunters」グループは、Shiny Hunters、Scattered Spider、Lapsus$恐喝グループに関連するメンバーで構成されていると主張しており、今年はSalesforceデータを標的とした広範なデータ窃取攻撃の背後にいます。
脅威アクターは当初、従業員を騙してSalesforceのData Loaderツールを企業のSalesforceインスタンスに接続させるソーシャルエンジニアリング詐欺を利用し、それを使ってデータを窃取し企業を脅迫していました。
その後、脅威アクターはSalesloftのGitHubリポジトリを侵害し、Trufflehogを使ってプライベートソースコード内に露出したシークレットをスキャンしました。これにより、Salesloft Driftの認証トークンを発見し、さらなるSalesforceデータ窃取攻撃に利用しました。
これらの攻撃は、Google、Adidas、Qantas、Allianz Life、Cisco、Kering、ルイ・ヴィトン、ディオール、ティファニー、Cloudflare、Zscaler、Elastic、Proofpoint、JFrog、Rubrik、Palo Alto Networks、そしてその他多数の企業に影響を与えています。
Google Threat Intelligence(Mandiant)は、これら脅威アクターにとって厄介な存在であり、SalesforceおよびSalesloft攻撃を最初に公開し、企業に防御強化を警告しました。
それ以来、脅威アクターはFBI、Google、Mandiant、そしてセキュリティ研究者をTelegramのさまざまなチャンネルで挑発し続けています。
木曜日の深夜、このグループはBreachForums関連ドメインに長文のメッセージを投稿し、一部では脅威アクターが引退するのではないかとの憶測を呼びました。
「これが、今後は沈黙こそが我々の強さになると決めた理由です」と脅威アクターは書いています。
「今後、まだ侵害を公表していない数十の数十億ドル規模の企業や、非常に厳重に保護されたものを含む一部の政府機関の新たなデータ侵害報告で我々の名前を見るかもしれませんが、それは我々がまだ活動していることを意味するものではありません。」
しかし、BleepingComputerに話したサイバーセキュリティ研究者たちは、このグループが「闇に消える」と主張しているにもかかわらず、今後も静かに攻撃を続けるだろうと考えています。
