Um grupo de cibercriminosos, conhecido como “Scattered Lapsus$ Hunters”, publicou um comunicado no canal do Telegram, exigindo que Sundar Pichai, CEO do Google, demitisse dois membros da equipe de segurança da companhia – sendo eles Austin Larsen e Charles Carmakal.
Além disso, o grupo também pedia que as equipes de segurança da big tech abandonassem as investigações sobre grupos de ameaça UNC3944, UNC5537, UNC6040, UNC6240 e UNC6395 – todos ligados aos recentes ataques à Salesforce. Caso as demandas não sejam atendidas, eles ameaçaram vazar dados da companhia.
Em outras mensagens divulgadas pelo grupo hacker, eles ironizam que “ao invés de falar sobre estarmos dando um ultimato para o Google, poderíamos falar sobre o fato deles serem continuamente hackeados por nós”.
“Nós os hackeamos novamente via campanha Salesloft, que eles já haviam escrito um artigo sobre” – Scattered Lapsus$ Hunters
De acordo com as mensagens divulgadas, os hackers afirmam que a Google não agiu para bloquear a vulnerabilidade que permitiu acesso à sua base de dados.
Funcionários do Google foram vítimas de vishing
A vulnerabilidade, que expôs informações de contato e criou oportunidades para campanhas de phishing, não comprometeu contas do Gmail ou serviços voltados para o consumidor. É possível que as últimas exigências tenham mais a ver com intimidação e interrupção das investigações em andamento do que com qualquer acesso confirmado à infraestrutura central do Google.
Contudo, nomear especialistas nas mensagem não é uma ação comum, até mesmo para grupos de cibercrime de alto perfil. Normalmente, os hackers se concentram em extorsão financeira ou roubo de dados confidenciais.
Pedir a demissão de analistas específicos aponta para uma tentativa calculada de enfraquecer a capacidade do Google de rastrear e combater suas operações. Tanto Larsen quanto Carmakal têm experiência em responder a incidentes sofisticados e coordenar estratégias de defesa contra governos e grupos ligados ao Estado e motivados financeiramente.
Histórico de ataques recentes ao Google
Os ataques descritos pelo grupo aconteceram entre junho e setembro, foram registrados no blog do Google Threat Intelligence e têm sido acompanhados pelo TecMundo. Todos eles estão ligados, de alguma forma, ao vazamento da Salesforce. As invasões também incluem etapas com exploração de vishing, técnica que engana vítimas por meio de chamadas de voz, que simulam atendimento com equipes de atendimento ao cliente, por exemplo.
Em junho, hackers do grupo UNC6040, que se nomeavam ShinyHunters, ligaram para um funcionário do Google fingindo ser da equipe de TI. A partir da chamada, convenceram o colaborador a instalar e autorizar um app falso no Salesforce, que imitava o Data Loader – aplicativo para importação ou exportação em massa de dados. Com isso, os hackers garantiram acesso a contatos e anotações de PMEs clientes do Google. De acordo com a empresa, os únicos dados expostos foram informações báśicas como nomes, endereços de e-mails e contatos.
Em julho, outro grupo do ShinyHunters, conhecido como UNC6240, começou a usar os dados roubados no ataque anterior para fazer ligações e e-mails de extorsão, pedindo transferências em bitcoin em até 72 horas.
A partir de agosto, hackers do grupo UNC6395, exploraram o app Salesloft Drift, integrado ao Salesforce e usado para converter clientes usando análise de dados. Os criminosos roubaram tokens OAuth e refresh tokens, que permitem acesso à integração entre os apps Salesforce e base de dados.
Assim, eles foram capazes de invadir instâncias do Salesforce de várias empresas e roubar dados como registros de CRM – como contatos, cases e oportunidades de negócios, e credenciais de serviços. Algumas empresas afetadas foram a Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.
O Google ainda não se pronunciou sobre as ameaças feitas pelo grupo, mas as ações e coerções devem continuar até que a big tech se manifeste.
Para continuar acompanhando essa história, siga o TecMundo nas redes sociais, se inscreva em nosso canal do YouTube e em nossa newsletter.
