L'ironie du sort. Google a confirmé avoir été ciblé par le groupe de hackers ShinyHunters, contre qui elle venait juste de mettre en garde les entreprises et internautes.
Début juin, son équipe Google Threat Intelligence alertait sur ces cybercriminels, connus pour leurs attaques particulièrement rusées. Leur méthode : le phishing par la voix. Concrètement, ils usurpent l’identité d’un technicien informatique par téléphone et persuadent leurs cibles d’installer une application piégée, capable d’accéder à leur portail Salesforce.
« Ces derniers mois, UNC6040 (ShinyHunters) a réussi à infiltrer plusieurs réseaux en se faisant passer pour un support technique lors d’appels extrêmement bien ficelés », expliquait la firme de Mountain View. Une approche « redoutablement efficace » qui visait avant tout les grandes entreprises internationales.
Google piégée
Si efficace que même Google est tombée dans le panneau, et ce en connaissance de cause ! Ainsi, les hackers de ShinyHunters sont parvenus à infiltrer un compte Salesforce lié à l'un des services internes de la société, utilisé pour gérer les relations avec des clients professionnels.
« L'instance (Ndlr : Salesforce) servait à stocker des informations de contact et des notes liées à des petites et moyennes entreprises », indique Google, précisant que les données exfiltrées se limitaient à « des informations commerciales basiques et pour la plupart déjà accessibles publiquement, comme des noms d’entreprise et des coordonnées ».
Si l'incident est désormais proscrit, il témoigne de la facilité avec laquelle des cybercriminels aguerris peuvent exploiter la moindre faille humaine ou technique, même chez un géant comme Google. Les assaillants n'auraient eu accès aux données « que durant une courte fenêtre temporelle, avant que l’accès ne soit coupé », ajoute la firme, qui n'a pas précisé combien d’entreprises étaient concernées.
Un groupe chevronné et bien connu des services de cybersécurité
ShinyHunters est un collectif spécialisé dans le vol de données à grande échelle, suivi de tentatives d'extorsion discrètes. Il cible surtout les plateformes cloud, à l'instar de Salesforce, qu’il exploite via des attaques de hameçonnage vocal.
Parmi les victimes présumées, on retrouve des géants comme LVMH, Adidas, Qantas ou encore Allianz Life. Le groupe opérerait sous différentes identités, et pourrait également entretenir des liens avec Scattered Spider et Lapsus$, d'autres communautés anglophones de hackers chevronnés.
Selon certains experts, ShinyHunters fonctionnerait aussi comme une structure « d’extorsion en marque blanche », agissant pour le compte d’autres groupes.
Sources : PC Mag, Bleeping Computer
