Хакерский коллектив, известный как Scattered LapSus Hunters, выдвинул резкий ультиматум компании Google, потребовав от технологического гиганта уволить двух ключевых сотрудников группы Threat Intelligence или столкнуться с разглашением якобы внутренних данных. Беспрецедентное требование, размещённое в Telegram, конкретно нацелено на Остина Ларсена и Чарльза Кармакала, а также требует прекратить расследования Google в области сетевой безопасности.
Угроза возникла после того, как в августе Google сообщила, что киберпреступники из группы ShinyHunters взломали Salesforce, стороннего поставщика, что привело к утечке служебных контактных данных и спровоцировало всплеск изощрённых фишинговых кампаний, нацеленных на 2,5 миллиарда пользователей Gmail. Несмотря на то, что пароли и основные системы Google не были компрометированы, украденные данные позволили злоумышленникам создавать убедительные поддельные сообщения.
Целевые сотрудники и вопросы безопасности
Остин Ларсен занимает должность ведущего аналитика угроз в Google Threat Intelligence Group, а Чарльз Кармакал является техническим директором Mandiant Consulting — подразделения Google Cloud по реагированию на инциденты. Оба принимали активное участие в отслеживании и разоблачении сетей киберпреступников, в том числе в рамках недавних расследований взлома Salesforce.
Хакеры утверждают, что представляют коалицию, объединяющую участников известных групп, включая Scattered Spider, LapSus и ShinyHunters, хотя специалисты по безопасности отмечают, что они не предоставили доказательств доступа к базам данных Google. «Их понимание инцидента, похоже, основано исключительно на публичных отчетах», — сообщил Ларсен KrebsOnSecurity, комментируя заявления злоумышленников.
Усиление фишинговых атак после взлома Salesforce
Ультиматум последовал за цепочкой сложных событий, начавшихся с проникновения злоумышленников в Salesloft Drift — платформу AI-чатботов, используемую многочисленными корпорациями. Используя украденные OAuth-токены, киберпреступники получили доступ к экземплярам Salesforce и извлекли огромные объемы контактных бизнес-данных в период с 8 по 18 августа 2025 года.
Google сообщает, что 37 процентов попыток захвата аккаунтов на ее платформах в настоящее время происходят в результате фишинговых и «вишинговых» атак, когда преступники используют украденную бизнес-информацию для создания реалистичных схем выдачи себя за других. Компания призывает всех пользователей Gmail сменить пароли и включить двухфакторную аутентификацию в качестве меры предосторожности.
Реакция отрасли на дерзость киберпреступников
Аналитики по безопасности считают требования о увольнении сотрудников необычной эскалацией в тактике киберпреступников, отмечая переход от традиционного хищения данных к попыткам влиять на корпоративные решения. Псевдоним Scattered LapSus Hunters появился в Telegram-канале в начале августа, прежде чем платформа его заблокировала, что свидетельствует о том, что нынешний ультиматум может быть частью более широкой модели стремления к вниманию.
Google отключила все интеграции Salesloft с Salesforce, Slack и Pardot, в то время как компания Salesloft привлекла Mandiant для расследования первопричины взлома. Инцидент подчеркивает растущую обеспокоенность вопросом распространения разрешений, когда действительные токены доступа пользователей позволяют злоумышленникам незаметно перемещаться между облачными системами.