حمله زنجیره تأمین به Drift؛ توقف موقت خدمات پس از سرقت توکن OAuth صدها سازمان!

شرکت Salesloft اعلام کرد که به‌زودی سرویس Drift (چت‌بات مبتنی بر هوش مصنوعی) را به‌طور موقت غیرفعال می‌کند. دلیل این اقدام، نقض امنیتی گسترده‌ای است که منجر به سرقت انبوه توکن‌های OAuth و نفوذ به صدها سازمان شده است.

“این اقدام سریع‌ترین مسیر برای بررسی کامل Drift و ارتقای امنیت و پایداری آن است تا بتوانیم سرویس را به حالت عادی بازگردانیم.” — Salesloft

🔌 در نتیجه‌ی این تصمیم:

• چت‌بات Drift دیگر روی وب‌سایت‌های مشتریان کار نخواهد کرد

• داشبورد و خدمات Drift به‌طور کامل در دسترس نخواهند بود

🤝 همکاری با شرکت‌های امنیتی برای پاسخ به حادثه Drift

Salesloft تأکید کرد که حفظ امنیت اطلاعات مشتریان در اولویت اصلی قرار دارد و در حال همکاری با شرکت‌های امنیت سایبری مانند Mandiant و Coalition برای مدیریت و پاسخ به این حمله است.

🎯 کمپین سرقت داده از طریق توکن‌های Drift

طبق گزارش مشترک Google Threat Intelligence Group (GTIG) و Mandiant، مهاجمان موفق شده‌اند از توکن‌های OAuth و Refresh Tokens سرقت‌شده مربوط به Drift برای نفوذ به سازمان‌ها (از جمله نمونه‌های Salesforce مشتریان) استفاده کنند.

🗓️ این حملات از تاریخ ۸ آگوست تا حداقل ۱۸ آگوست ۲۰۲۵ ادامه داشته‌اند.

“حمله از طریق توکن‌های Drift مرتبط با برنامه شخص ثالث Salesloft انجام شد و نمونه‌های Salesforce مشتریان را هدف قرار داد.” — گزارش Mandiant

🧬 تهدیدگر ناشناس با کد UNC6395 (نام مستعار GRUB1)

فعالیت‌های این حمله به یک گروه تهدید با نام UNC6395 (همچنین با عنوان GRUB1 شناخته می‌شود) نسبت داده شده است. بر اساس اظهارات گوگل، بیش از ۷۰۰ سازمان ممکن است تحت تأثیر این حمله قرار گرفته باشند.

⛔ هرچند در ابتدا تصور می‌شد فقط یکپارچگی Drift با Salesforce هدف بوده، اما مشخص شده تمام پلتفرم‌هایی که به Drift متصل هستند ممکن است آلوده شده باشند.

📌 نحوه‌ی دقیق دسترسی اولیه مهاجمان به Drift هنوز مشخص نیست.

🔒 اقدام احتیاطی Salesforce و سازمان‌های آسیب‌دیده

در واکنش به این حمله، شرکت Salesforce تمام یکپارچگی‌های Salesloft با پلتفرم خود را موقتاً غیرفعال کرده است.

✅ برخی از سازمان‌هایی که تأیید کرده‌اند تحت تأثیر این نقض امنیتی قرار گرفته‌اند عبارتند از:

• 🌐 Cloudflare

• 📁 Google Workspace

• ⏱️ PagerDuty

• 🔐 Palo Alto Networks

• 🕵️‍♂️ SpyCloud

• 💻 Tanium

• 🔄 Zscaler

🔍 هدف مهاجمان: سرقت داده برای حملات آینده

شرکت Cloudflare در بیانیه‌ای اعلام کرد:

“ما باور داریم که این حمله یک اتفاق تصادفی نبوده، بلکه مهاجمان قصد داشته‌اند با سرقت اطلاعات احراز هویت و داده‌های مشتریان، حملات هدفمندتری را در آینده طراحی کنند.”

☣️ با توجه به آسیب‌دیدن صدها سازمان، کارشناسان امنیتی هشدار داده‌اند که احتمال دارد از داده‌های سرقت‌شده برای حملات بعدی علیه مشتریان استفاده شود.

🧾 نکات کلیدی برای تیم‌های امنیت سایبری:

• 📌 بررسی تمام اتصال‌های OAuth با سرویس‌های ثالث به‌ویژه Drift

• 🔐 بازبینی دسترسی‌ها و ریست کردن توکن‌های امنیتی

• 🛡️ استفاده از ابزارهای SIEM و تحلیل لاگ برای شناسایی رفتار مشکوک

• 🚨 اطلاع‌رسانی به مشتریان و آماده‌سازی برای پاسخ به حملات ثانویه

منابع: