Компания Google подтвердила масштабный инцидент с утечкой данных, затронувший клиентов ее рекламной платформы Google Ads. По информации, полученной изданием Cyber Security News от хакерской группы ShinyHunters, компрометация корпоративного экземпляра Salesforce привела к утечке приблизительно 2,5 миллионов записей. Точное число пострадавших пользователей Google официально не раскрывает, и остается неясным, присутствуют ли в утечке дублирующиеся записи.
Инцидент, обнаруженный в июне 2025 года, был осуществлен финансово мотивированной группой угроз, отслеживаемой как UNC6040. Эта группировка известна применением изощренных тактик голосового фишинга (вишинга). Google уведомил клиентов о произошедшем 5 августа, а завершил рассылку индивидуальных оповещений по электронной почте 8 августа 2025 года.
Скомпрометированный экземпляр Salesforce содержал контактную информацию и сопутствующие заметки о малых и средних предприятиях, использующих Google Ads. По данным Группы анализа угроз Google (GTIG), похищенные данные включали базовую, преимущественно публично доступную деловую информацию. К ней относятся наименования компаний, контактные данные (адреса электронной почты, номера телефонов), а также заметки, хранившиеся в Salesforce. Несмотря на заверения Google об ограниченном характере утечки и публичной доступности большей части информации, инцидент вызывает серьезную озабоченность. Похищенные данные потенциально могут быть использованы для последующих схем вымогательства или целевых атак.
Хакеры извлекли данные в течение короткого промежутка времени до того, как Google заблокировал их доступ. Однако точный объем затронутых записей компания не раскрыла. По данным Cyber Security News, группа ShinyHunters потребовала от Google выкуп в размере 20 биткоинов (примерно 2,3 миллиона долларов США на момент требования). Впоследствии злоумышленники заявили, что это требование было отправлено "ради смеха" ("for the lulz"), а не как серьезная попытка вымогательства.
Тактики атаки и роль ShinyHunters
Непосредственное исполнение атаки приписывается группе ShinyHunters. Они также заявляют о сотрудничестве с угрозактерами, связанными со Scattered Spider, объединившись под названием "Sp1d3rHunters". Именно эта коалиция, по данным расследования, обеспечила первоначальный доступ к целевым системам, позволив ShinyHunters провести эксфильтрацию данных из среды Salesforce.
Атакующие использовали модифицированную версию приложения Salesforce Data Loader. Авторизация была получена с помощью изощренных тактик голосового фишинга (вишинга), в ходе которых сотрудников Google обманом заставили одобрить подключение вредоносного приложения (malicious connected app). Специалисты GTIG отмечают, что группа UNC6040 постоянно развивает свои методы. Они перешли на использование кастомных Python-скриптов для автоматизации сбора данных и активно маскируют свою активность через VPN-сервис Mullvad или сеть Tor.
ShinyHunters связывают с кампаниями вымогательства, отслеживаемыми как UNC6240. Злоумышленники связываются с жертвами по электронной почте (например, с адресов shinycorp@tuta[.]com и shinygroup@tuta[.]com), требуя выплаты в биткоинах в течение 72 часов. GTIG предупреждает, что группа может эскалировать давление на жертв, включая пострадавших от утечки данных Google Ads, путем запуска специализированного сайта для слива информации (Data Leak Site, DLS). Примечательно, что попытки вымогательства часто происходят спустя месяцы после первоначальной кражи данных, что указывает на возможное сотрудничество с другими акторами для монетизации украденной информации.
Атака демонстрирует отточенные методы UNC6040, включая использование скомпрометированных учетных записей из *независимых* организаций для регистрации вредоносных приложений. GTIG также зафиксировала пересечение инфраструктуры, используемой группой, с инфраструктурой киберпреступного коллектива "The Com". Это указывает на потенциальное использование общих тактик среди связанных групп, специализирующихся на атаках на облачные платформы, такие как Okta и Microsoft 365.
Реакция Google и рекомендации по безопасности
Google отреагировал оперативно, проведя анализ последствий и внедрив меры по защите затронутого экземпляра Salesforce. Компания подчеркивает, что брешь стала результатом социальной инженерии, а не уязвимости в самой платформе Salesforce. Чтобы предотвратить подобные инциденты в будущем, GTIG дает ряд рекомендаций. Ключевым является принцип минимальных привилегий, особенно для инструментов вроде Data Loader, где необходимо строго ограничивать разрешения типа "API Enabled". Критически важно тщательное управление подключенными приложениями (Connected Apps), включая использование "белых списков" (allowlisting) и ограничение мощных разрешений, таких как "Customize Application", только доверенным администраторам.
Настройка ограничений по IP-адресам, определяющая доверенные диапазоны для доступа, способна блокировать несанкционированные подключения через VPN или Tor. Использование возможностей Salesforce Shield, включая политики безопасности транзакций и мониторинг событий, помогает выявлять подозрительную активность, например, массовую загрузку данных. Повсеместное внедрение многофакторной аутентификации (MFA) остается критически важной мерой, но его необходимо сопровождать обучением пользователей распознаванию тактик социальной инженерии, направленных на обход MFA.
Утечка данных Google Ads служит очередным тревожным сигналом о растущей изощренности финансово мотивированных киберпреступных группировок и их способности использовать человеческий фактор для обхода технических средств защиты даже в крупнейших технологических компаниях. Пока Google заверяет в ограниченности последствий, потенциальное использование украденных контактов для целевых атак или вымогательства создает реальные риски для малого и среднего бизнеса, чьи данные оказались в руках злоумышленников.
