Google a confirmé que des pirates informatiques avaient créé un compte frauduleux sur sa plate-forme Law Enforcement Request System (LERS) que les forces de l’ordre utilisent pour soumettre des demandes de données officielles à l’entreprise
« Nous avons identifié qu’un compte frauduleux avait été créé dans notre système pour les demandes des forces de l’ordre et avons désactivé le compte », a déclaré Google à Breachtrace .
« Aucune demande n’a été faite avec ce compte frauduleux, et aucune donnée n’a été consultée. »
Le FBI a refusé de commenter les affirmations de l’acteur menaçant.
Cette déclaration intervient après qu’un groupe d’acteurs de la menace se faisant appeler « Chasseurs de lapsus épars » a affirmé sur Telegram avoir eu accès à la fois au portail LERS de Google et au système de vérification des antécédents eCheck du FBI.
Le groupe a publié des captures d’écran de leur accès présumé peu de temps après avoir annoncé jeudi qu’ils « devenaient sombres. »
Les allégations des pirates ont soulevé des inquiétudes, car les LERS et le système eCheck du FBI sont utilisés par la police et les agences de renseignement du monde entier pour soumettre des citations à comparaître, des ordonnances judiciaires et des demandes de divulgation d’urgence.
Un accès non autorisé pourrait permettre aux attaquants de se faire passer pour des forces de l’ordre et d’accéder à des données utilisateur sensibles qui devraient normalement être protégées.
Le groupe « Scattered Lapsus Hunters Hunters », qui prétend être composé de membres liés aux groupes Shiny Hunters, Scattered Spider et Lapsus ext extorsion, est à l’origine d’attaques généralisées de vol de données ciblant les données Salesforce cette année.
Les auteurs de la menace ont initialement utilisé des escroqueries d’ingénierie sociale pour inciter les employés à connecter l’outil de chargement de données de Salesforce aux instances Salesforce d’entreprise, qui ont ensuite été utilisées pour voler des données et extorquer des entreprises.
Les auteurs de la menace ont ensuite violé le référentiel GitHub de Salesloft et ont utilisé Trufflehog pour rechercher les secrets exposés dans le code source privé. Cela leur a permis de trouver des jetons d’authentification pour Salesloft Drift, qui ont été utilisés pour mener d’autres attaques de vol de données Salesforce.
Ces attaques ont touché de nombreuses entreprises, notamment Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik, Palo Alto Networks et bien d’autres.
Google Threat Intelligence (Mandiant) a été une épine dans le pied de ces acteurs de la menace, étant le premier à divulguer les attaques Salesforce et Salesloft et à avertir les entreprises de renforcer leurs défenses.
Depuis lors, les acteurs de la menace ont nargué le FBI, Google, Mandiant et les chercheurs en sécurité dans des publications sur divers canaux Telegram.
Tard jeudi soir, le groupe a publié un long message sur un domaine lié à BreachForums, faisant croire à certains que les acteurs de la menace prenaient leur retraite.
« C’est pourquoi nous avons décidé que le silence serait désormais notre force », ont écrit les acteurs de la menace.
« Vous pouvez voir nos noms dans les nouveaux rapports de divulgation de violation de données des dizaines d’autres sociétés de plusieurs milliards de dollars qui n’ont pas encore divulgué de violation, ainsi que certaines agences gouvernementales, y compris hautement sécurisées, cela ne signifie pas que nous sommes toujours actifs. »
Cependant, les chercheurs en cybersécurité qui ont parlé avec Breachtrace pensent que le groupe continuera à mener des attaques discrètement malgré leurs affirmations de sombrer dans l’obscurité.