Salesforce-angribere truer Google og FBI efter et stort leverandørkædebrud knyttet til Salesloft Drift. De cyberkriminelle grupper bag bruddet—ShinyHunters, LAPSUS$ og Scattered Spider—krævede en afslutning på igangværende efterforskninger, samtidig med at de hævdede at have adgang til følsomme systemer.
Hvem angriberne er
Koalitionen af grupper beskrev sig selv som “uovervindelige” i en offentlig erklæring. De krævede, at Google afskedigede medarbejdere i sin Threat Intelligence Group, og at FBI fjernede 14 agenter, der arbejdede på sagen.
Angriberne hævdede også, at de havde infiltreret Googles netværk og truede med at lække stjålne data og afsløre identiteten på FBI-agenter, hvis deres krav blev ignoreret.
Hvordan bruddet skete
Angriberne udnyttede stjålne OAuth-tokens fra Salesloft Drift-integrationen, et AI-drevet chatværktøj forbundet med Salesforce. Ved hjælp af disse tokens infiltrerede de flere Salesforce-miljøer, herunder instanser tilknyttet Google, Zscaler og Victoria’s Secret.
Efterforskere opdagede, at angriberne stjal AWS-nøgler, Snowflake-tokens og kundekontooplysninger. Googles Threat Intelligence Group sporede aktiviteten tilbage til august og identificerede UNC6395 som gruppen bag indsamlingen af stjålne data fra hundredvis af Salesforce-konti.
Hvorfor dette er vigtigt
Denne hændelse repræsenterer en farlig eskalering inden for cyberafpresning. Ud over datatyveri truer angriberne åbent føderale efterforskere og en af verdens største teknologivirksomheder. Kampagnen fremhæver risiciene ved tredjepartsintegrationer, hvor en enkelt kompromitteret app kan få konsekvenser for hele virksomhedens økosystem.
For organisationer understreger bruddet det akutte behov for at styrke godkendelseskontroller, overvåge adgangstokens og udføre regelmæssige revisioner af SaaS-integrationer. Truslerne mod Google og FBI viser også, hvor selvsikre cyberkriminelle grupper er blevet.
Konklusion
Salesforce-angribere truer Google og FBI i et dristigt træk, der kombinerer datatyveri med offentlig intimidering. Ved at udnytte stjålne OAuth-tokens infiltrerede de profilerede Salesforce-miljøer og eskalerede deres krav til direkte trusler. Sagen viser, at token-baserede kompromitteringer og svagheder i leverandørkæden fortsat er kritiske risici. Angribere udfordrer nu åbent globale institutioner.
0 svar til “Salesforce-angribere truer Google og FBI efter brud”