Google повідомила про виявлення та оперативне блокування фальшивого облікового запису в Law Enforcement Request System (LERS) — порталі для взаємодії з правоохоронними органами. Паралельно група, що називає себе «Scattered LAPSUS$ Hunters», заявила у Telegram про доступ до LERS і до системи верифікації даних ФБР eCheck. За даними медіа, ФБР коментарів не надало, а в Google підкреслили: через підроблений профіль запити не відправлялися, доступ до користувацьких даних не здійснювався.
Що таке LERS і FBI eCheck: критичні портали для правових запитів
LERS — корпоративна платформа Google для прийому судових ухвал, запитів і екстрених звернень (EDR) від правоохоронців. FBI eCheck використовується для перевірки та обміну даними під час розслідувань. Будь-яка несанкціонована реєстрація або доступ до таких систем створює ризик правдоподібної імітації легітимних звернень, що може призвести до розкриття конфіденційних даних за формально правильною процедурою.
Заяви атакувальників і позиція Google
Учасники «Scattered LAPSUS$ Hunters» оприлюднили скриншоти нібито з LERS та eCheck і заявили про «перехід у тінь». Google підтвердила лише появу шахрайського профілю в LERS, який було заблоковано до будь-яких дій. Ознак компрометації даних не виявлено. Водночас фахівці припускають, що активність групи може зміститися в сторону менш помітних технік.
Хто такі «Scattered LAPSUS$ Hunters» і їхній почерк атак
Учасників об’єднання пов’язують зі спільнотами Scattered Spider, LAPSUS$ і Shiny Hunters, відомими ставкою на соціальну інженерію та зловживання легітимними інструментами. Раніше їм приписували змушування співробітників підключати Salesforce Data Loader до корпоративних інстансів для масового експорту даних й подальшого вимагання.
В інших епізодах фігурували компрометація репозиторію Salesloft, пошук секретів за допомогою TruffleHog і використання знайдених токенів для поглиблення атак в екосистемі Salesforce. Такий підхід демонструє зміщення фокусу атак із експлойтів на урізання процедурних і довірчих бар’єрів.
Спостереження розвідників загроз
Фахівці Google Threat Intelligence (Mandiant) публічно описували кампанії проти Salesforce та Salesloft, що пришвидшило реагування в індустрії. Після хвилі розголосу зловмисники глузували з ІБ-спільноти в Telegram і згодом опублікували на домені, пов’язаному з BreachForums, заяву про «припинення діяльності» — експерти розцінюють це радше як перехід до більш прихованих методів.
Чому підроблені EDR-запити — системний ризик
Екстрені запити на розкриття даних обробляються швидко і покладаються на високий рівень довіри до ініціатора. Якщо зловмисник здатен переконливо підробити належність до правоохоронного органу або завести правдоподібний профіль у порталі, постачальник може видати дані, вважаючи запит законним. Галузеві звіти, зокрема Verizon DBIR 2024, послідовно фіксують зростання інцидентів, де вирішальну роль відіграє соціальна інженерія та зловживання довірчими процесами.
Практичні кроки захисту для провайдерів і корпоративних команд
Провайдери та власники LEA-порталів
Запроваджуйте фішингостійку багатофакторну автентифікацію з апаратними ключами (FIDO2/WebAuthn); здійснюйте жорстку перевірку особи та повноважень перед наданням доступу; вимагайте out-of-band підтвердження кожного EDR через заздалегідь узгоджені канали; обмежуйте права й сегментуйте дані так, щоб один акаунт не міг ініціювати широкий спектр запитів; впроваджуйте безперервний моніторинг аномалій (частота, географія, шаблони); підтримуйте чіткі процедури відкликання і ротації облікових записів.
Корпоративні команди (SaaS, DevOps, SecOps)
Дотримуйтеся принципу найменших привілеїв і контролю підключення інструментів на кшталт Data Loader; забороняйте безстрокові персональні токени та впроваджуйте короткоживучі креденшели; активуйте секрет-сканування в репозиторіях (TruffleHog, gitleaks), захищайте Git-платформи (branch protection, SSO, обов’язковий MFA); використовуйте DLP і детальне журналювання для виявлення аномальних вивантажень із CRM; регулярно тренуйте співробітників із соціальної інженерії та застосовуйте «challenge–response» для будь-яких позапланових запитів до даних.
Інцидент із LERS та згадки про eCheck демонструють: навіть формально надійні процеси вразливі, коли об’єктом атаки стає довіра і процедура. Організаціям варто переглянути контроль доступу до правових запитів, зменшити зони видимості облікових записів і запровадити багаторівневу перевірку EDR. Чим швидше будуть впроваджені фішингостійка автентифікація, секрет-сканування й суворі процеси підтвердження екстрених звернень, тим нижчою буде ймовірність успішної експлуатації схожих схем. Перевірте свої процеси вже сьогодні та оновіть плани реагування, аби випередити зловмисників.