Технологічний гігант Google офіційно визнав масштабний інцидент кібербезпеки, унаслідок якого хакерська група ShinyHunters отримала несанкціонований доступ до конфіденційних даних клієнтів рекламної платформи Google Ads. Атака, здійснена у червні 2025 року через скомпрометовану інфраструктуру Salesforce CRM, призвела до витоку 2,55 мільйона записів з персональною інформацією користувачів.
Складна схема атаки: як працює вішинг у корпоративному середовищі
Кіберзлочинці з груп UNC6040 та UNC6240, що діють під загальною назвою ShinyHunters, застосували витончену тактику соціальної інженерії для проникнення в корпоративні системи. Основним інструментом атаки став вішинг — метод фішингу через голосові комунікації, коли зловмисники телефонують співробітникам, видаючи себе за технічних фахівців або керівників.
Ця техніка виявилася особливо ефективною проти організацій, що використовують платформу Salesforce CRM. Хакери демонстрували глибокі знання корпоративної структури та внутрішніх процесів, що дозволило їм переконливо маніпулювати персоналом і обходити технічні засоби захисту.
Аналіз скомпрометованих даних: що потрапило до рук кіберзлочинців
За офіційною інформацією Google, викрадені дані включали базову корпоративну інформацію: назви компаній малого та середнього бізнесу, контактні телефони й службові нотатки менеджерів з обслуговування клієнтів. Критично важливі дані залишилися захищеними — платіжна інформація, облікові записи Google Ads, дані Google Analytics та Merchant Center не постраждали.
Компанія повідомила, що витік даних тривав обмежений період часу до виявлення інциденту та блокування несанкціонованого доступу. Більшість скомпрометованої інформації належить до категорії загальнодоступних або базових корпоративних відомостей.
Економічна мотивація та тактика вимагання
ShinyHunters висунули вимогу викупу в розмірі 20 біткоїнів (близько 2,3 мільйона доларів за поточним курсом) за нерозповсюдження викрадених даних. Проте згодом представники групи заявили, що вимога мала провокативний характер, що свідчить про складну мотиваційну структуру сучасних кіберзлочинних організацій.
Альянс із Scattered Spider: нова загроза кібербезпеці
Особливу стурбованість викликає підтверджене партнерство ShinyHunters із групою Scattered Spider, яка спеціалізується на отриманні первинного доступу до корпоративних мереж. Об’єднані зусилля під новою назвою Sp1d3rHunters демонструють консолідацію кіберзлочинних ресурсів і зростання загроз для корпоративної безпеки.
Масштабна кампанія проти Salesforce-екосистеми
Атака на Google є частиною більш широкої кампанії проти організацій, що використовують Salesforce CRM. Серед постраждалих компаній — міжнародні корпорації Adidas, Qantas, Allianz Life, LVMH (включно з брендами Louis Vuitton, Dior, Tiffany & Co), технологічний гігант Cisco, модний дім Chanel та ювелірна компанія Pandora.
Така концентрація атак на єдину технологічну платформу вказує на стратегічний підхід кіберзлочинців до вибору цілей і підкреслює необхідність посилення захисних заходів для популярних корпоративних рішень.
Інцидент із Google демонструє критичну важливість комплексного підходу до корпоративної кібербезпеки. Організаціям необхідно не лише впроваджувати сучасні технічні засоби захисту, але й регулярно навчати персонал методам протидії соціальній інженерії. Особливу увагу слід приділити багатофакторній автентифікації та верифікації запитів на доступ до критичних систем, особливо коли вони надходять через голосові комунікації.
