تعرّضت شركة “بالو ألتو نيتوركس” لاختراق سيبراني أدّى إلى تسريب بيانات عدد من عملائها، وذلك بعد استغلال مهاجمين رموز مميزة لتوثيق OAuth تمت سرقتها في هجوم استهدف سلسلة توريد شملت تطبيقات Salesloft وDrift. وأوضحت الشركة أنّ الاختراق اقتصر على منصة إدارة علاقات العملاء Salesforce، دون أن يمتدّ تأثيره إلى منتجاتها أو بنيتها التقنية الأخرى.
وذكرت الشركة، ضمن بيان رسمي، أنّ المهاجمين تمكّنوا من الوصول إلى سجلات تتعلق بجهات اتصال وبيانات حسابات المبيعات والمراسلات المرتبطة بحالات الدعم الفني. كما استهدفت الهجمات تحليل البيانات المسروقة بحثًا عن معلومات حسّاسة، شملت رموز الدخول إلى خدمات الحوسبة السحابية مثل مفاتيح الوصول إلى Amazon Web Services وسلاسل الدخول لخدمات VPN وتسجيل الدخول الأحادي (SSO).
وأضافت الشركة أنّ الجهات المهاجمة استخدمت أدوات آلية مكتوبة بلغة Python لتنفيذ عمليات الاستخراج من قاعدة بيانات Salesforce، مع قيامهم بمسح السجلات التي تولدت أثناء الهجوم في محاولة لإخفاء آثار العملية. وأكدت وحدة التهديدات السيبرانية التابعة للشركة “Unit 42” أنّ التحقيق لا يزال مستمرًا، ويتم التنسيق مع الجهات المتضرّرة لإبلاغها بما جرى وتقييم المخاطر الناجمة.
وتجدر الإشارة إلى أنّ شركة “غوغل” التي شاركت في متابعة الحملة، صنّفت الجهة المهاجمة ضمن مجموعة UNC6395، موضحةً أنّ أهداف الهجوم شملت مؤسسات بارزة مثل Zscaler وCisco وWorkday، إلى جانب شركات عالمية في مجالات التأمين والتجزئة. وبينما لم يُثبت بعد وجود ارتباط مباشر بين هذه الهجمات ومجموعة ShinyHunters المعروفة بابتزاز البيانات، تشير تقارير أمنية إلى وجود تقاطع في الأساليب المستخدمة، خصوصًا عبر استغلال التطبيقات المرتبطة بـ Salesforce.
