Aucune faille de Salesforce n’a été exploitée, selon Google, à l’origine d’un rapport sur cette campagne. Les pirates emploient plutôt des techniques de phishing vocal (vishing) pour tromper leurs cibles et les inciter à leur fournir un accès.
Le Google Threat Intelligence Group (GTIG) suit ce groupe baptisé UNC6040, spécialisé dans les campagnes de vishing visant à compromettre les environnements Salesforce des organisations, afin de voler des données puis d’extorquer les organisations visées.
Le GTIG précise qu’aucune vulnérabilité de Salesforce n’a été exploitée. Contacté par Reuters, un porte-parole de Salesforce a indiqué : « Il n’y a aucune indication que le problème mentionné provienne d’une faille inhérente à notre plateforme », rappelant que le vishing correspond à « des escroqueries ciblées par ingénierie sociale, conçues pour exploiter les lacunes dans la sensibilisation à la cybersécurité et les bonnes pratiques des utilisateurs individuels. » L’entreprise n’a pas communiqué sur le nombre de clients concernés.
Dans le détail, les membres d'UNC6040 sont parvenus à s’infiltrer à plusieurs reprises en se faisant passer pour du personnel du support informatique, et en amenant des employés à exécuter des tâches leur donnant accès aux systèmes, ou à leur fournir identifiants et codes MFA.
Une communauté à l’œuvre plutôt qu’une entité organisée ?
L’une des tactiques décrites par Google consiste à pousser la victime à autoriser une application malveillante dans son portail Salesforce. « Cette application est souvent une version modifiée de Data Loader, un outil de Salesforce (qui permet d’importer, d’exporter et de mettre à jour des données – NDLR) non autorisé dans ce cas. Lors d’un appel de vishing, l’attaquant guide la victime vers la page de configuration des applications connectées de Salesforce pour approuver cette version falsifiée, souvent déguisée sous un autre nom ou logo », décrit le GTIG.
Les pirates se déplacent ensuite latéralement dans le réseau et peuvent accéder à d'autres plateformes cloud telles qu’Okta et Microsoft 365, afin de consulter et d’exfiltrer des données sensibles puis exiger ensuite le paiement d'une rançon.
Selon les observations du GTIG, le groupe de pirates partage des infrastructures ainsi que des tactiques et procédures (ingénierie sociale via faux support IT, vol d’identifiants Okta, ciblage d’utilisateurs anglophones) avec la communauté informelle de cybercriminels « The Com ». « Cela suggère des connexions communautaires plutôt qu'une collaboration directe », note le GTIG.
