Χάκερ εξαπατούν υπαλλήλους σε εταιρείες στην Ευρώπη και την Αμερική ώστε να εγκαταστήσουν μια τροποποιημένη έκδοση μιας εφαρμογής που σχετίζεται με την Salesforce, επιτρέποντάς τους να κλέβουν δεδομένα, να αποκτούν πρόσβαση σε εταιρικές υπηρεσίες cloud και να εκβιάζουν αυτές τις εταιρείες, ανακοίνωσε η Google.
Οι χάκερ – που εντοπίστηκαν από την Google Threat Intelligence Group και έλαβαν την ονομασία UNC6040 – «έχουν αποδειχθεί ιδιαίτερα αποτελεσματικοί στο να ξεγελούν τους υπαλλήλους» ώστε να εγκαταστήσουν μια τροποποιημένη έκδοση του Data Loader της Salesforce, ενός εργαλείου που χρησιμοποιείται για τη μαζική εισαγωγή δεδομένων σε περιβάλλοντα Salesforce, ανέφεραν οι ερευνητές.
Για την παραβίαση χρησιμοποιήθηκαν φωνητικές κλήσεις για να ξεγελάσουν τους υπαλλήλους ώστε να επισκεφτούν μια υποτιθέμενη σελίδα εγκατάστασης εφαρμογής συνδεδεμένης με την Salesforce, ώστε να εγκρίνουν την μη εξουσιοδοτημένη, τροποποιημένη έκδοση της εφαρμογής, η οποία δημιουργήθηκε από τους χάκερ για να μιμηθούν το Data Loader.
Η τεχνική υποδομή που συνδέεται με την καμπάνια έχει κοινά χαρακτηριστικά με το ευρύτερο και χαλαρά οργανωμένο οικοσύστημα γνωστό ως «The Com»
Εάν ο υπάλληλος εγκαταστήσει την εφαρμογή, οι χάκερ αποκτούν «σημαντικές δυνατότητες πρόσβασης, αναζήτησης και εξαγωγής ευαίσθητων πληροφοριών απευθείας από τα παραβιασμένα περιβάλλοντα πελατών της Salesforce», ανέφεραν οι ερευνητές.
Η πρόσβαση αυτή δίνει επίσης συχνά στους χάκερ τη δυνατότητα να κινούνται σε όλο το δίκτυο ενός πελάτη, επιτρέποντας επιθέσεις σε άλλες υπηρεσίες cloud και εσωτερικά εταιρικά δίκτυα.
Η τεχνική υποδομή που συνδέεται με την καμπάνια έχει κοινά χαρακτηριστικά με το ευρύτερο και χαλαρά οργανωμένο οικοσύστημα γνωστό ως «The Com», γνωστό για μικρές, ανόμοιες ομάδες που εμπλέκονται σε εγκληματικές και μερικές φορές βίαιες δραστηριότητες στον κυβερνοχώρο, ανέφεραν οι ερευνητές της Google.
Εκπρόσωπος της Google δήλωσε ότι περίπου 20 οργανισμοί έχουν επηρεαστεί από την καμπάνια UNC6040, η οποία έχει παρατηρηθεί τους τελευταίους μήνες ενώ ένα υποσύνολο αυτών των οργανισμών είχε δεδομένα που είχαν εξαχθεί με επιτυχία.
H Salesforce προειδοποίησε τους πελάτες της για επιθέσεις τροποποιημένων εκδόσεων του Data Loader σε μια ανάρτηση ιστολογίου τον Μάρτιο του 2025
Εκπρόσωπος της Salesforce δήλωσε στο Reuters ότι «δεν υπάρχει καμία ένδειξη ότι το περιγραφόμενο πρόβλημα πηγάζει από κάποια ευπάθεια που είναι εγγενής στην πλατφόρμα μας». Επιπλέον, δήλωσε ότι οι φωνητικές κλήσεις που χρησιμοποιούνται για να ξεγελάσουν τους υπαλλήλους «είναι στοχευμένες απάτες κοινωνικής μηχανικής που έχουν σχεδιαστεί για να εκμεταλλεύονται τα κενά στην ευαισθητοποίηση και τις βέλτιστες πρακτικές στον κυβερνοχώρο των μεμονωμένων χρηστών».
Ωστόσο, ο εκπρόσωπος της Salesforce αρνήθηκε να μοιραστεί τον συγκεκριμένο αριθμό των πελατών που επηρεάζονται, αλλά είπε ότι η Salesforce «γνωρίζει μόνο ένα μικρό υποσύνολο των πελατών που επηρεάζονται» και ότι «δεν πρόκειται για ένα εκτεταμένο πρόβλημα».
Αξίζει να σημειωθεί ότι η Salesforce προειδοποίησε τους πελάτες της για επιθέσεις φωνητικού «ηλεκτρονικού ψαρέματος» (phishing) και για χάκερ που κάνουν κατάχρηση κακόβουλων, τροποποιημένων εκδόσεων του Data Loader σε μια ανάρτηση ιστολογίου τον Μάρτιο του 2025.
