Dalış Özeti:
- Mandiant Pazartesi günü yaptığı açıklamada, 100’den fazla Snowflake müşterisinin, bulut tabanlı veri ambarı satıcısının müşterilerini hedef alan yaygın bir kimlik tabanlı saldırı çılgınlığına yakalandığını söyledi. tehdit istihbaratı raporu. Mandiant, saldırıların Snowflake’in sistemlerindeki bir ihlalden kaynaklanmadığını söyledi.
- Mandiant Consulting CTO’su Charles Carmakal Pazartesi günü hazırladığı bir açıklamada, “En az Nisan 2024’ten bu yana UNC5537, 100’den fazla Snowflake müşteri kiracısına erişmek için çalıntı kimlik bilgilerinden yararlandı” dedi. “Tehdit aktörü, müşteri kiracılarının güvenliğini sistematik olarak ele geçirdi, verileri indirdi, kurbanlara şantaj yaptı ve kurban verilerinin siber suç forumlarında satışa sunulduğunu duyurdu.”
- kar tanesi Saldırıları ilk kez 30 Mayıs’ta açıkladık ve kötü niyetli faaliyetten ilk olarak 23 Mayıs’ta haberdar olduklarını söyledi. Snowflake, Mandiant’ın araştırması hakkında yorum yapmak için hemen müsait değildi. Mandiant ve CrowdStrike, Snowflake’e devam eden bir soruşturmada yardımcı oluyor.
Dalış Bilgisi:
Snowflake ve olay müdahale firmaları, saldırıların Snowflake’in kurumsal ortamındaki bir güvenlik açığından veya ihlalden kaynaklanmadığını ileri sürüyor.
Mali motivasyona sahip saldırgan UNC5537, Snowflake müşteri veritabanlarına erişmek için çalıntı kimlik bilgilerini kullandı ve Mandiant’a göre bu kimlik bilgileri öncelikle Snowflake’e ait olmayan sistemlerdeki birden fazla bilgi hırsızı kötü amaçlı yazılım bulaşmasından elde edildi. Çalınan kimlik bilgilerinin bir kısmı Kasım 2020’ye kadar uzanıyor.
Mandiant, Snowflake ve Mandiant’ın bugüne kadar potansiyel olarak maruz kalan yaklaşık 165 müşteriye bildirimde bulunduğunu söyledi.
Mandiant, önemli miktarda müşteri verisinin çalınmasıyla sonuçlanan saldırıların üç ortak noktası olduğunu söyledi:
- Etkilenen müşteri hesapları çok faktörlü kimlik doğrulamayla yapılandırılmamıştır;
- Bilgi hırsızı kötü amaçlı yazılım yoluyla elde edilen kimlik bilgileri hâlâ geçerliydi;
- Etkilenen Snowflake müşteri örneklerinin ise güvenilir konumlara erişimi sınırlandıracak ağ politikası kuralları yoktu.
Mandiant’tan gelen güncelleme şu şekilde geliyor: Snowflake ve müşterileri üzerindeki baskı artıyor. Veri ambarı ve analiz sağlayıcısı, kaç müşterinin etkilendiğini bağımsız olarak doğrulamadı.
İçinde Cuma güncellemesi Snowflake CISO’su Brad Jones, topluluk forumunda şirketin müşterilerin MFA veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamasını zorunlu kılacak bir plan geliştirdiğini söyledi.
Ancak Snowflake müşterilerinden tam olarak ne isteneceği ve MFA’nın platformunda varsayılan olarak açılıp açılmayacağı da dahil olmak üzere planın ayrıntıları yetersizdi. Snowflake, güvenlik iyileştirme planına ilişkin ek bilgi talebine yanıt vermedi.
Şirket son çeyreğini 30 Nisan’da 9.822 müşteriyle tamamladı.