Представители Google сообщили, что хакеры создали поддельную учетную запись в системе Law Enforcement Request System (LERS). Эта платформа компании используется правоохранительными органами для подачи официальных запросов на предоставление данных.

Как пишет издание Bleeping Computer, в конце прошлой недели участники хак-групп Scattered Spider, LAPSUS$ и Shiny Hunters (которые утверждают, что объединились и теперь называют себя Scattered LAPSUS$ Hunters) заявили в Telegram, что получили доступ как к порталу Google LERS, так и к системе проверки данных ФБР — eCheck.

LERS и eCheck используются полицией и спецслужбами разных стран мира для передачи судебных запросов и постановлений, а также запросов на срочное раскрытие информации. Неавторизованный доступ к этим системам позволял атакующим выдать себя за сотрудников правоохранительных органов и добрать до конфиденциальных пользовательских данных.

«Мы установили, что в нашей системе для запросов от правоохранительных органов была создана мошенническая учетная запись, и отключили ее, — сообщил журналистам представитель Google. — С помощью этой поддельной учетной записи не осуществлялось никаких запросов. Доступ к каким-либо данным не был получен».

В ФБР отказались комментировать заявления злоумышленников.

Отмечается, что хакеры опубликовали скриншоты якобы полученного доступа вскоре после объявления о том, что они намерены «уйти в тень». Напомним, что ранее в этом году Scattered LAPSUS$ Hunters привлекли к себе немало внимания после масштабных атак на Salesforce.

Изначально злоумышленники использовали социальную инженерию, обманом вынуждая сотрудников подключить инструмент Data Loader к корпоративным инстансам Salesforce, который затем использовался для кражи данных и последующего вымогательства.

Позже хакеры скомпрометировали GitHub-репозиторий компании Salesloft и использовали инструмент Trufflehog для поиска секретов в приватном исходном коде. Это позволило им найти токены аутентификации для Salesloft Drift, которые использовались для дальнейших атак и последующей массовой кражи данных из Salesforce.

Дело в том, что специалисты Google Threat Intelligence (Mandiant) первыми заметили происходящее, привлекли внимание к атакам на Salesforce и Salesloft, и предупредили всех о необходимости укрепления защиты.

После этого хакеры стали регулярно высмеивать ФБР, Google, Mandiant и ИБ-исследователей в публикациях в своих Telegram-каналах.

Теперь же Scattered LAPSUS$ Hunters опубликовали длинное сообщение на домене, связанном с BreachForums, заявив, что прекращают свою деятельность.

«Мы решили, что отныне наша сила в молчании, — написали злоумышленники. — Вы еще увидите наши имена в отчетах об утечках данных десятков многомиллиардных компаний, которые пока не признали взлом, а также некоторых госструктур, включая высокозащищенные. Но это не значит, что мы по-прежнему активны».

Однако ИБ-специалисты, с которыми говорили представители Bleeping Computer, полагают, что группировка продолжит проводить атаки более скрытно, несмотря на заявления о прекращении деятельности.