Salesforce-angripere truer Google og FBI etter databrudd

Salesforce-angripere truer Google og FBI etter et stort leverandørkjedeangrep knyttet til Salesloft Drift. De cyberkriminelle gruppene bak bruddet—ShinyHunters, LAPSUS$ og Scattered Spider—krever en slutt på pågående etterforskninger samtidig som de hevder å ha tilgang til sensitive systemer.

Hvem angriperne er

Koalisjonen av grupper beskrev seg selv som «uslåelige» i en offentlig uttalelse. De krevde at Google skulle si opp ansatte i sin Threat Intelligence Group og at FBI fjerner 14 agenter som jobbet med saken.

Angriperne hevdet også at de hadde infiltrert Googles nettverk og truet med å lekke stjålne data og avsløre identiteten til FBI-agenter dersom kravene deres ble ignorert.

Hvordan bruddet skjedde

Angriperne utnyttet stjålne OAuth-tokens fra Salesloft Drift-integrasjonen, et AI-drevet chatverktøy koblet til Salesforce. Med disse tokenene infiltrerte de flere Salesforce-miljøer, inkludert instanser tilknyttet Google, Zscaler og Victoria’s Secret.

Etterforskere oppdaget at angriperne stjal AWS-nøkler, Snowflake-tokens og kundekontolegitimasjon. Googles Threat Intelligence Group sporet aktiviteten tilbake til august og identifiserte UNC6395 som gruppen bak innsamlingen av stjålne data fra hundrevis av Salesforce-kontoer.

Hvorfor dette er viktig

Denne hendelsen representerer en farlig eskalering innen cyberutpressing. I tillegg til datatyveri truer angriperne åpent føderale etterforskere og et av verdens største teknologiselskaper. Kampanjen fremhever risikoene ved tredjepartsintegrasjoner, der én kompromittert app kan få konsekvenser for hele virksomheter.

For organisasjoner understreker bruddet det akutte behovet for å styrke autentiseringskontroller, overvåke tilgangstokens og gjennomføre regelmessige revisjoner av SaaS-integrasjoner. Truslene mot Google og FBI viser også hvor selvsikre cyberkriminelle grupper har blitt.

Konklusjon

Salesforce-angripere truer Google og FBI i et dristig trekk som kombinerer datatyveri med offentlig skremselstaktikk. Ved å utnytte stjålne OAuth-tokens infiltrerte de profilerte Salesforce-miljøer og eskalerte kravene sine til direkte trusler. Saken viser at token-baserte kompromisser og svakheter i leverandørkjeden fortsatt er kritiske risikoer. Angripere utfordrer nå åpent globale institusjoner.