Групата ShinyHunters твърди, че е проникнала чрез облачни креденшъли и е ексфилтрирала огромни масиви информация

Канадският доставчик на аутсорсинг услуги Telus Digital потвърди, че разследва киберинцидент, свързан с неоторизиран достъп до част от неговите системи, след като хакерската група ShinyHunters заяви, че е откраднала почти 1 петабайт данни при многомесечен пробив.

Telus Digital е подразделението за дигитални услуги и бизнес процес аутсорсинг (BPO) на канадския телекомуникационен оператор Telus. Компанията предоставя услуги като:

• клиентска поддръжка

• модериране на съдържание

• услуги за обучение на модели за Artificial Intelligence

• аутсорсинг на оперативни процеси

Тъй като BPO доставчиците често обработват данни и системи на множество компании едновременно, подобни организации представляват особено ценна цел за киберпрестъпници, които могат чрез един пробив да получат достъп до огромни обеми корпоративна и клиентска информация.

Потвърждение за инцидента

След месеци на спекулации Telus Digital официално потвърди, че е открила неоторизирана активност в ограничен брой системи.

Компанията заяви, че:

• е предприела незабавни мерки за ограничаване на достъпа

• работи с външни експерти по дигитална криминалистика

• сътрудничи с правоохранителните органи

Според официалната позиция операциите на компанията продължават нормално и няма доказателства за прекъсване на клиентските услуги.

Разследването продължава, като засегнатите клиенти ще бъдат уведомени при потвърждение на компрометирани данни.

Как е осъществен пробивът

Според твърденията на ShinyHunters атаката е започнала чрез облачни креденшъли за Google Cloud Platform, открити в данни, изтекли при по-ранния пробив в платформата Salesloft и нейния инструмент Drift.

При този инцидент нападателите са изтеглили данни от Salesforce за около 760 компании, включително тикети за клиентска поддръжка.

Тези записи са били анализирани за:

• пароли

• токени за автентикация

• API ключове

• други чувствителни секрети

Според анализ на Mandiant подобни данни често се използват за компрометиране на допълнителни системи и облачни платформи.

Достъп до BigQuery и допълнителни системи

След като получили достъп до инфраструктурата на Telus Digital, нападателите твърдят, че са проникнали в голяма база данни в Google BigQuery.

След това са използвали инструмента за анализ на секрети TruffleHog, за да търсят:

• нови креденшъли

• токени

• конфигурационни секрети

Това им е позволило да преминават между различни системи (lateral movement) и да изтеглят още данни.

Каква информация може да е изтекла

Според твърденията на ShinyHunters откраднатите данни включват информация както от BPO операциите на компанията, така и от телекомуникационните услуги на Telus.

Сред потенциално компрометираните данни са:

• записи от клиентски разговори

• метаданни за телефонни обаждания

• записи на гласови разговори

• данни от системи за клиентска поддръжка

• оценка на работата на оператори

• системи за откриване на измами

• инструменти за модериране на съдържание

• код на приложения

• финансови данни

• записи от Salesforce

• проверки за сигурност, включително проверки от ФБР

В примерни файлове, анализирани от медии, се съдържат и метаданни за телефонни разговори, включително:

• час на обаждането

• продължителност

• номер на обаждащия се

• номер на получателя

• параметри за качеството на връзката

Искан откуп от 65 милиона долара

Според източници групата ShinyHunters е започнала изнудване на компанията през февруари, като е поискала 65 милиона долара, за да не публикува откраднатите данни.

Компанията обаче не е водила преговори с нападателите.

Коя е групата ShinyHunters

Групата ShinyHunters е сред най-активните киберпрестъпни операции за кражба на данни през последните години.

Тя е свързвана с редица големи пробиви, включително срещу:

• Google

• Cisco

• Pornhub

• Match Group

През последните месеци групата използва и voice phishing (vishing) атаки срещу корпоративни акаунти за единен вход (SSO) в платформи като:

• Microsoft

• Google

• Okta

В тези атаки служители получават обаждания от лица, представящи се за ИТ поддръжка, които ги убеждават да въведат креденшъли и MFA кодове в фишинг сайтове.

След компрометиране на достъпа нападателите могат да проникнат в свързани корпоративни услуги като:

• Microsoft 365

• Google Workspace

• SAP

• Slack

• Zendesk

• Dropbox

Потенциално мащабен пробив във веригата на доставки

Ако твърденията за почти 1 петабайт откраднати данни бъдат потвърдени, това може да се превърне в един от най-големите пробиви при BPO доставчик, със сериозни последици за множество международни компании.

Подобни атаки показват, че компрометирането на доставчик на услуги може да се превърне в мащабна атака по веригата на доставки, която засяга десетки организации едновременно.