Non è servito un malware sofisticato o una zero-day sconosciuta per mettere in allarme oltre 200 organizzazioni globali. È bastato invece un meccanismo antico quanto la guerra stessa: colpire il fianco scoperto di un alleato per entrare nella fortezza principale.
La nuova ondata di attacchi informatici che sta scuotendo la Silicon Valley e oltre è la dimostrazione perfetta di come l’interconnessione, pilastro dell’economia ‘Software as a Service’ moderna sia diventata il suo tallone d’Achille.
Il punto di rottura è stato individuato in Gainsight, piattaforma cruciale per la gestione del successo clienti, integrata profondamente nei sistemi di migliaia di imprese.
Attraverso questa breccia, i criminali informatici hanno orchestrato un movimento laterale da manuale, trasformando un fornitore di servizi in un cavallo di Troia capace di raggiungere le istanze di Salesforce delle aziende clienti.
Google ha confermato l’esposizione di oltre 200 organizzazioni, mobilitando immediatamente il proprio Threat Intelligence Group. Non è un semplice incidente tecnico; è un segnale d’allarme sistemico per chiunque affidi i propri dati a una galassia di software interconnessi.
La meccanica del contagio: da Salesloft a Gainsight
L’attacco non è stato un evento isolato ma l’evoluzione di una campagna precedente. Gli hacker hanno sfruttato credenziali valide, sottratte durante una precedente violazione al fornitore Salesloft, per infiltrarsi in Gainsight.
Una volta dentro, hanno utilizzato i privilegi legittimi dell’integrazione per accedere ai dati sensibili ospitati nelle istanze Salesforce collegate.
Questa tecnica evidenzia una verità scomoda: le aziende moderne non sono isole ma nodi di una rete. La sicurezza di un colosso non dipende più solo dalle sue mura, ma dalla solidità della porta di servizio lasciata aperta per i fornitori terzi.
Gli Scattered Lapsus$ Hunters e il teatro delle smentite
A rivendicare l’operazione su Telegram sono stati gli Scattered Lapsus$ Hunters. Il gruppo, noto per un approccio che mescola social engineering aggressivo e furto d’identità, ha pubblicato una lista di vittime eccellenti che si legge come un “Who’s Who” del tech mondiale: Atlassian, GitLab, LinkedIn, SonicWall, Thomson Reuters, F5, Malwarebytes, fino ai giganti delle telecomunicazioni come Verizon.
Ma la cortina fumogena è fitta. La rivendicazione, priva al momento di prove forensi pubbliche (“proof of life”), si è scontrata con un muro di smentite. Docusign ha reagito prontamente, disconnettendo le integrazioni con Gainsight e dichiarando l’assenza di indizi di compromissione.
Verizon ha liquidato le affermazioni come “non verificate”, mentre CrowdStrike, pur negando il coinvolgimento diretto, ha aggiunto un dettaglio intrigante alla narrazione, confermando il licenziamento di un “insider sospetto”.
Un elemento che suggerisce come, dietro le quinte, la tensione sia molto più alta di quanto i comunicati stampa lascino trapelare.
La risposta di Salesforce e l’ingresso di Mandiant
Salesforce ha agito con la freddezza necessaria, revocando temporaneamente i token di accesso delle app collegate a Gainsight. La mossa è chiara: isolare l’infezione. L’azienda di Marc Benioff ha tenuto a precisare che la vulnerabilità non risiede nella propria infrastruttura, ribadendo che il problema è esogeno.
Gainsight, nell’occhio del ciclone, ha chiamato i rinforzi pesanti: Mandiant. Il coinvolgimento della divisione di incident response di Google, che normalmente entra in campo solo nei casi più complessi o con potenziale impatto sistemico, è la conferma implicita della gravità della situazione.
L’obiettivo ora è forense: ricostruire ogni singolo movimento laterale per capire quanti dati siano effettivamente fuoriusciti e quanto profonda sia stata l’infiltrazione.
L’ombra dell’estorsione e i rischi futuri
Il copione degli Scattered Lapsus$ Hunters prevede ora l’escalation: il gruppo ha annunciato il lancio di un portale dedicato all’estorsione, replicando il modello già visto con Salesloft. La minaccia di pubblicare i dati sottratti è la leva psicologica finale, progettata per costringere le vittime a pagare rapidamente.
Questo incidente, che segue i precedenti attacchi a MGM Resorts e Coinbase, consolida la reputazione di un collettivo che punta alla monetizzazione rapida sfruttando la fiducia implicita tra le piattaforme B2B.
Per i CIO e i CISO di tutto il mondo, la lezione è brutale: in un ecosistema integrato, quando cade un anello della catena, il rischio si propaga istantaneamente a tutto il sistema. E la fiducia “by default” nelle integrazioni software è un lusso che il mercato non può più permettersi.
Fonte: TechCrunch
