Google сообщила, что в ее Law Enforcement Request System (LERS) была обнаружена и оперативно отключена мошенническая учетная запись. На этом фоне участники объединения, называющего себя Scattered LAPSUS$ Hunters (фигуранты, связанные с группами Scattered Spider, LAPSUS$ и Shiny Hunters), заявили в Telegram о доступе к порталу LERS и к системе проверки данных ФБР — eCheck. По данным BleepingComputer, ФБР комментариев не предоставило, а в Google подчеркнули: через фальшивый аккаунт запросы не отправлялись, доступ к пользовательским данным не получен.
Что такое LERS и eCheck: почему эти порталы критичны
LERS — корпоративная платформа Google, через которую правоохранительные органы подают судебные запросы, постановления и экстренные запросы на раскрытие данных. FBI eCheck используется для верификации и обмена данными в рамках расследований. Любой несанкционированный доступ к таким системам создает риск имитации легитимных обращений, что может привести к раскрытию конфиденциальных данных при формальном соблюдении процедуры.
Заявления атакующих и позиция Google
Злоумышленники опубликовали скриншоты, которые, по их словам, подтверждают доступ к LERS и eCheck, а также заявили о переходе «в тень». Google, в свою очередь, подтвердил лишь факт появления поддельного профиля в системе запросов правоохранителей, уточнив, что учетная запись была заблокирована до совершения каких-либо действий. Факт компрометации данных не подтвержден. Независимые эксперты, опрошенные журналистами, допускают, что активность группы может продолжиться в более скрытной форме.
Кто стоит за заявлением: след «Scattered LAPSUS$ Hunters»
Объединение связывают с участниками Scattered Spider, LAPSUS$ и Shiny Hunters. Ранее в году на их счету — резонансные инциденты с использованием социальной инженерии и злоупотреблением легитимными инструментами. По сообщениям, атакующие заставляли сотрудников подключать Salesforce Data Loader к корпоративным инстансам для последующего изъятия данных и вымогательства. В других эпизодах фигурировали компрометация репозитория Salesloft, поиск секретов с помощью TruffleHog и использование найденных токенов для дальнейших атак на экосистему Salesforce.
Роль исследователей угроз
Эксперты Google Threat Intelligence (Mandiant) публично обозначили кампании против Salesforce и Salesloft, тем самым ускорив реагирование и укрепление защитных мер в индустрии. На фоне этой огласки злоумышленники активно высмеивали ИБ-сообщество в своих Telegram-каналах, а затем опубликовали на домене, связанном с BreachForums, заявление о «прекращении деятельности» — шаг, который специалисты трактуют скорее как переход к более скрытным методам.
Почему риск поддельных запросов настолько опасен
Экстренные запросы на раскрытие данных (EDR) и судебные распоряжения обрабатываются в ускоренном режиме и требуют высокого доверия к источнику. Если злоумышленники смогут убедительно подделать принадлежность к правоохранительным органам или создать легитимно выглядящую учетную запись в соответствующем портале, то провайдеры рискуют выдать данные, считая обращение законным. Отраслевые отчеты по киберугрозам неоднократно отмечали, что социальная инженерия и злоупотребление доверительными процессами остаются ключевыми драйверами инцидентов.
Практические меры защиты для провайдеров и корпоративных команд
Для провайдеров и владельцев LEA-порталов рекомендуется: многофакторная аутентификация с аппаратными ключами и фишинг-устойчивыми протоколами; строгая проверка личности и полномочий при выдаче доступа; обязательная out-of-band верификация экстренных запросов через заранее согласованные каналы; ограничение прав и сегментация данных, чтобы один аккаунт не мог инициировать широкий спектр запросов; непрерывный мониторинг аномалий (частота запросов, география, нетипичные шаблоны); четкая процедура отзыва и ротации учетных записей.
Для корпоративных команд (SaaS, DevOps, SecOps): Principle of Least Privilege и контроль подключения инструментов наподобие Data Loader; запрет персональных токенов без сроков жизни и внедрение механик короткоживущих креденшелов; секрет-сканирование в репозиториях (например, TruffleHog, gitleaks) и защита Git-платформы (branch protection, SSO, обязательный MFA); DLP и журналирование для обнаружения аномальной выгрузки данных из CRM; регулярные учения по социальному инжинирингу и «вызовы-подтверждения» для любых внеплановых запросов к данным.
Ситуация вокруг LERS и eCheck демонстрирует уязвимость даже формально надежных процессов, когда злоумышленники целятся не в технологии, а в доверие и процедуры. Организациям стоит пересмотреть контроль доступа к правовым запросам, усилить проверки, ограничить зоны видимости для отдельных аккаунтов и выстроить многоуровневую верификацию экстренных обращений. Чем быстрее компании внедрят фишинг-устойчивую аутентификацию, секрет-сканирование и строгие процессы подтверждения EDR, тем ниже вероятность успешной эксплуатации подобных схем.