Един от най-големите телекоми в САЩ е станал жертва на атака
Американският телекомуникационен гигант Charter Communications потвърди, че е засегнат от киберинцидент, след като групата за дигитално изнудване ShinyHunters заплаши да публикува откраднати данни, ако не бъде платен откуп.
Компанията е един от най-големите доставчици в Съединените щати и обслужва десетки милиони потребители и бизнес клиенти чрез бранда Spectrum.
В официална позиция компанията съобщи, че вече е уведомила компетентните органи и твърди, че не са били компрометирани чувствителни лични данни или customer proprietary network information (CPNI).
Хакерите твърдят, че са откраднали 40 милиона записа
Случаят стана публичен, след като ShinyHunters публикува името на Charter в своя сайт за изтичане на данни.
Според групата са били откраднати приблизително 40 милиона клиентски записа, включващи информация за:
- потребители;
- бизнес клиенти;
- абонатни услуги;
- customer support системи.
Хакерите твърдят, че са получили достъп до инфраструктурата още на 1 април чрез voice phishing (vishing) атака срещу служител на компанията.
Компрометиран Microsoft Entra акаунт
Според твърденията на атакуващите пробивът е осъществен чрез компрометиране на Microsoft Entra акаунт на служител.
След получаване на достъп заплахата е използвала корпоративните права за експорт на данни от Salesforce средата на Charter Communications.
По данни на хакерите откраднатата информация включва:
- имена;
- имейл адреси;
- физически адреси;
- телефонни номера;
- типове телефонни услуги;
- информация за абонаментни планове;
- частични CPNI данни;
- customer support тикети.
Компанията не е потвърдила официално тези твърдения и продължава да поддържа позицията, че чувствителна клиентска информация не е била източена.
ShinyHunters продължава мащабните SaaS атаки
През последната година ShinyHunters се превърна в една от най-активните групи, използващи social engineering и credential theft атаки срещу корпоративни cloud среди.
Основна цел на групата са:
- Microsoft Entra акаунти;
- Okta среди;
- Google SSO инфраструктури;
- BPO оператори;
- helpdesk екипи.
След компрометиране на single sign-on акаунти атакуващите получават достъп до множество SaaS платформи, включително:
- Salesforce;
- Microsoft 365;
- Google Workspace;
- SAP;
- Slack;
- Adobe;
- Atlassian;
- Zendesk;
- Dropbox.
След това данните се използват за изнудване чрез заплаха за публично публикуване.
Salesforce се превръща в предпочитана мишена
Според наблюденията на изследователи по киберсигурност Salesforce е сред основните цели на групата.
В редица случаи хакерите атакуват интеграционни компании и доставчици на услуги, за да откраднат OAuth токени, които впоследствие използват за достъп до клиентски Salesforce среди.
Този модел позволява компрометиране на големи обеми чувствителни бизнес данни без директно проникване в основната инфраструктура на жертвата.
Атаките срещу образователния сектор продължават
По-рано тази година ShinyHunters проведе серия от атаки срещу образователната технологична компания Instructure.
Инцидентът доведе до прекъсвания в платформата Canvas и компрометиране на данни на десетки милиони ученици и студенти.
Впоследствие Instructure съобщи, че е постигнала „споразумение“ с атакуващите – формулировка, която според анализатори вероятно означава плащане на откуп с цел предотвратяване на публичното публикуване на данните.
Социалното инженерство се превръща в основен риск
Случаят с Charter Communications показва все по-ясна тенденция в киберзаплахите – атакуващите все по-често заобикалят традиционните технически защити чрез манипулации и социално-инженерни техники.
Вместо експлоатация на уязвимости, групи като ShinyHunters използват:
- vishing;
- фалшиви helpdesk сценарии;
- credential phishing;
- MFA fatigue атаки;
- компрометиране на SaaS идентичности.
Това поставя нов натиск върху организациите и MSP доставчиците да засилят:
- защитата на идентичности;
- мониторинга на cloud достъпа;
- контрола върху OAuth интеграциите;
- обучението на служителите;
- detection механизмите за необичайна SaaS активност.
