Хакеры создали фейковый аккаунт в системе правоохранительных органов LERS
изображение: recraft
Google официально сообщил о выявлении поддельной учётной записи в системе LERS — платформе, через которую правоохранительные органы разных стран направляют официальные запросы на раскрытие информации. Представители компании уточнили, что доступ к пользовательским данным через эту запись получен не был. Об этом сообщил портал BleepingComputer.
Обострение ситуации совпало с появлением сообщений от группы, выступающей под названием «Scattered Lapsus$ Hunters». Эти участники киберсцены утверждают, что не только смогли проникнуть в LERS, но и получили контроль над системой проверки биографических данных ФБР под названием eCheck. Публикация скриншотов с якобы подтверждающим доступом вызвала немало вопросов в профессиональном сообществе.
Группа появилась в поле зрения сразу после заявленного «самороспуска». Эксперты отметили, что подобные заявления часто сопровождаются волной новых атак, в том числе попытками нарушить работу критически значимых каналов коммуникации между органами власти и IT-компаниями.
Использование подобных платформ, как LERS и eCheck, даёт полицейским и спецслужбам возможность оперативно запрашивать конфиденциальную информацию пользователей в рамках уголовных или антитеррористических расследований. Если такие системы оказываются под контролем хакеров, это создаёт угрозу масштабной утечки данных и подмены официальных запросов на фальшивые.
Журналисты BleepingComputer уточнили, что группа, называющая себя «Scattered Lapsus$ Hunters», связана с участниками известных вымогательских объединений Shiny Hunters, Lapsus$ и Scattered Spider. В течение текущего года эти структуры стояли за серией краж данных из глобальных корпораций, среди которых упоминаются Salesforce, Cisco, Louis Vuitton, Tiffany & Co, Elastic, Cloudflare и многие другие.
Изначально атаки велись с применением методов социальной инженерии. Удалось убедить отдельных сотрудников компаний вручную подключить инструменты для экспорта данных, в частности Salesforce Data Loader, к корпоративным хранилищам. Эти подключения использовались для выкачивания конфиденциальной информации и последующего шантажа.
Позже злоумышленники расширили вектор атак, проникнув в закрытые репозитории Salesloft на GitHub. С помощью утилиты Trufflehog они просканировали код на предмет встроенных ключей доступа. Эти токены, в частности, от сервисов Salesloft Drift, использовались для вторичных атак — уже напрямую на экосистему Salesforce.
Специалисты Google Threat Intelligence (Mandiant) в числе первых публично разоблачили механизм атак на Salesforce и Salesloft. В отчётах компании заявляется, что именно своевременное информирование помогло многим клиентам заблокировать скомпрометированные каналы.
На фоне этого противостояния участники «Scattered Lapsus$ Hunters» начали активно высмеивать Google, Mandiant, ФБР и исследователей в Telegram. Эти действия воспринимаются экспертами как попытка отвлечь внимание от своей активности и одновременно продемонстрировать уязвимость государственных и корпоративных структур.
По оценке специалистов, под угрозой оказались не только крупные компании, но и сама инфраструктура, связанная с межгосударственным обменом юридически значимой информацией. Вмешательство в подобные системы подрывает доверие к цифровым каналам передачи данных, используемым во всём мире.
