O Google confirmou que hackers criaram uma conta falsa em seu sistema Law Enforcement Request System (LERS), plataforma utilizada por órgãos de segurança para enviar solicitações oficiais de dados à empresa.
“Identificamos que uma conta fraudulenta foi criada em nosso sistema para solicitações de autoridades e já desativamos essa conta”, informou o Google ao site BleepingComputer.
A empresa ressaltou que “nenhuma solicitação foi feita por essa conta fraudulenta e nenhum dado foi acessado”.
O FBI, por sua vez, não se manifestou sobre as alegações dos criminosos.
A declaração do Google surge após um grupo de hackers conhecido como “Scattered Lapsus$ Hunters” afirmar no Telegram que conseguiu acesso tanto ao portal LERS do Google quanto ao sistema eCheck de verificação de antecedentes do FBI.
O grupo publicou capturas de tela que supostamente comprovam esse acesso logo após anunciar, na quinta-feira, que “iria ficar em silêncio” (going dark).
Essas reivindicações geraram preocupação porque tanto o LERS quanto o sistema eCheck do FBI são utilizados por agências policiais e de inteligência ao redor do mundo para enviar intimações, ordens judiciais e pedidos de divulgação emergencial.
Um acesso não autorizado a essas plataformas permitiria que invasores se passassem por autoridades e obtivessem dados sensíveis de usuários, que deveriam estar protegidos.
O “Scattered Lapsus$ Hunters” afirma ser composto por membros ligados a grupos como Shiny Hunters, Scattered Spider e Lapsus$ — todos conhecidos por ataques de extorsão e roubo massivo de dados.
Neste ano, eles foram responsáveis por uma série de ataques que visaram dados do Salesforce.
Inicialmente, utilizaram técnicas de engenharia social para enganar funcionários, fazendo com que conectassem a ferramenta Data Loader do Salesforce às instâncias corporativas da plataforma.
Com isso, conseguiram roubar dados e pressionar as empresas para extorsão.
Posteriormente, os hackers invadiram o repositório GitHub da Salesloft e usaram a ferramenta Trufflehog para localizar segredos expostos no código-fonte privado.
Assim, encontraram tokens de autenticação do Salesloft Drift, que foram usados para novos ataques de roubo de dados do Salesforce.
Esses ataques afetaram diversas empresas, entre elas Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, Tiffany & Co, Cloudflare, Zscaler, Elastic, Proofpoint, JFrog, Rubrik, Palo Alto Networks e muitas outras.
A equipe Google Threat Intelligence (Mandiant) tem se destacado no enfrentamento a esses grupos, sendo responsável pela divulgação dos ataques envolvendo Salesforce e Salesloft e alertando empresas para reforçarem suas defesas.
Desde então, os hackers têm provocado o FBI, Google, Mandiant e pesquisadores de segurança em postagens em diversos canais do Telegram.
Na noite de quinta-feira, o grupo publicou uma mensagem extensa em um domínio vinculado ao BreachForums, levando alguns a acreditarem que eles estariam se aposentando.
“Por isso decidimos que o silêncio será agora nossa força”, escreveram os criminosos.
“Vocês poderão ver nossos nomes em futuras divulgações de vazamentos de dados de dezenas de outras empresas multibilionárias que ainda não revelaram os incidentes, assim como em algumas agências governamentais, inclusive altamente seguras, mas isso não significa que estamos ativos.”
Porém, especialistas em cibersegurança entrevistados pelo site BleepingComputer acreditam que o grupo continuará realizando ataques silenciosamente, apesar do anúncio de que ficará em silêncio.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...