Ключевые факты: Более 20 крупных компаний, включая Chanel, Adidas, Qantas и LVMH, стали жертвами масштабной кампании социальной инженерии через платформу Salesforce. Атаки проводила группа UNC6040, связанная с известными хакерами ShinyHunters.
История, которую мы сегодня разбираем, идеально иллюстрирует старую истину кибербезопасности: самое слабое звено в любой системе — это человек. 25 июля 2025 года престижный модный дом Chanel обнаружил утечку данных своих американских клиентов, которая стала частью гораздо более масштабной операции, поразившей элиту мирового бизнеса. Как говорил Кевин Митник, легендарный хакер, ставший консультантом по безопасности: «Вы можете иметь лучшую технологию в мире, но все равно останетесь уязвимы для социальной инженерии». И случай с Chanel — яркое тому подтверждение.
Атака была проведена группой UNC6040, которая в мире кибершпионажа известна под более громким псевдонимом ShinyHunters. Эти ребята специализируются на том, что в индустрии называют «vishing» — голосовой фишинг, когда злоумышленники звонят сотрудникам компаний, представляясь техподдержкой, и убеждают их совершить казалось бы безобидные действия. В случае с Chanel и другими жертвами схема была дьявольски изящной: хакеры убедили сотрудников установить поддельное приложение «Salesforce Data Loader», которое выглядело абсолютно легитимно, но на самом деле служило для массового извлечения данных.
Троянский конь XXI века — только вместо деревянной конструкции у стен Трои, у нас поддельное приложение в корпоративной системе. Сотрудники Chanel, как и их коллеги в Adidas, Qantas и империи LVMH (включая Louis Vuitton, Dior и Tiffany & Co.), искренне верили, что помогают «коллегам из IT» решить техническую проблему. В результате этой цифровой лжи злоумышленники получили доступ к именам, адресам электронной почты, почтовым адресам и телефонным номерам американских клиентов Chanel.
Что особенно примечательно в этой истории — техническое совершенство самой платформы Salesforce осталось незапятнанным. Компания неоднократно подчеркивала, что её система не была взломана. Это как если бы злоумышленники проникли в банк не через взлом сейфа, а убедив охранника открыть дверь. Salesforce в своём официальном заявлении отметила: «Salesforce не была скомпрометирована, и описанные проблемы не связаны с какой-либо известной уязвимостью в нашей платформе».
Масштаб операции UNC6040 впечатляет своей грандиозностью — более 20 организаций по всему миру стали жертвами этой кампании. География атак охватила Америку и Европу, а сектора-мишени включали гостиничный бизнес, розничную торговлю и образование. Особенно пострадали компании люксового сегмента: помимо Chanel, в список жертв попали Adidas с их спортивными амбициями, австралийский авиационный гигант Qantas, а также французская империя LVMH со всеми её престижными брендами.
Тактика атакующих напоминает классические приёмы мошенников, но адаптированные для эпохи облачных технологий. UNC6040 использовали не только телефонные звонки, но и поддельные страницы входа в Okta для кражи учётных данных и токенов многофакторной аутентификации. Это как если бы современные карманники научились не только вытаскивать кошельки, но и подделывать банкоматы.
После успешного проникновения в системы хакеры не спешили выкладывать украденные данные в открытый доступ. Вместо этого они перешли к так называемой «тихой экстракции» — отправляли письма с угрозами напрямую пострадавшим компаниям, требуя выкуп за неразглашение информации. Этот подход показывает эволюцию киберпреступности: от громких публичных утечек к более изощрённому частному шантажу.
Реакция Salesforce на волну атак была быстрой и конструктивной. Компания выпустила детальные рекомендации по безопасности, которые читаются как учебник по современной киберзащите. Среди ключевых советов — обязательное включение многофакторной аутентификации для всех пользователей, применение принципа минимальных привилегий при предоставлении доступа, тщательный мониторинг подключённых приложений и внедрение механизмов обнаружения подозрительной активности даже после успешной авторизации.
Связь UNC6040 с известной группой ShinyHunters добавляет этой истории дополнительную интригу. Исследователи из Google Threat Intelligence отмечают, что хотя UNC6040 проводит первоначальное вторжение и кражу данных, последующая деятельность по вымогательству иногда приписывается связанной группе UNC6240, которая использует бренд ShinyHunters. Это напоминает современные преступные синдикаты, где разные «отделы» специализируются на разных аспектах противозаконной деятельности.
Анализируя географию атак, становится очевидным, что злоумышленники целенаправленно выбирали компании с большими базами клиентских данных и высокой репутацией. В случае с Chanel пострадали только американские клиенты, обращавшиеся в службу поддержки, что говорит о точечном характере атаки. Никаких финансовых данных или паролей похищено не было, что несколько смягчает последствия инцидента.
Особенно важно отметить, что эти атаки высвечивают фундаментальную проблему современной корпоративной безопасности: как защитить системы от самих пользователей? Все технические меры защиты могут оказаться бесполезными, если сотрудник поверит убедительному мошеннику на другом конце провода. Это как строить крепость с неприступными стенами, но оставлять ключи от ворот на видном месте.
СРАВНИТЕЛЬНАЯ ТАБЛИЦА ПОСТРАДАВШИХ КОМПАНИЙ
Компания. Похищенные данные. Затронутые регионы. Публичная утечка. Попытки вымогательства.
Chanel Имена, email, адреса, телефоны Только США Нет Да
LVMH (Louis Vuitton, Dior, Tiffany) Контактные данные клиентов Глобально Нет Да
Qantas Имена, email, телефоны, адреса Австралия Нет Да
Adidas Контактная информация клиентов Глобально Нет Да
КЛЮЧЕВЫЕ РЕКОМЕНДАЦИИ SALESFORCE ПО ЗАЩИТЕ
Важно: Все эти меры направлены на устранение человеческого фактора как слабого звена в цепи безопасности.
Многофакторная аутентификация — обязательна для всех пользователей без исключений
Принцип минимальных привилегий — каждый сотрудник получает только необходимый минимум доступа
Мониторинг подключённых приложений — регулярная проверка и отзыв подозрительных подключений
Обнаружение аномальной активности — системы должны выявлять странное поведение даже после успешного входа
Обучение персонала — регулярные тренинги по распознаванию социальной инженерии
История с Chanel и её «соседями по несчастью» показывает, что в эпоху облачных технологий традиционные границы безопасности размываются. Как сказал основатель кибербезопасности Брюс Шнайер: «Безопасность — это не продукт, а процесс». И этот процесс должен включать не только технические меры, но и постоянное обучение людей, которые этими технологиями пользуются. Ведь самый совершенный замок бесполезен, если кто-то готов открыть дверь первому встречному, представившемуся слесарем.
