Bulut bilişim ve analiz şirketi Snowflake, hedeflenen kampanya kapsamında “sınırlı sayıda” müşterisinin seçildiğini söyledi.
Şirket, CrowdStrike ve Google’ın sahibi olduğu Mandiant ile birlikte yaptığı ortak açıklamada, “Bu etkinliğin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren bir kanıt tespit etmedik” dedi.
“Bu aktivitenin mevcut veya eski Snowflake personelinin kimlik bilgilerinin tehlikeye atılmasından kaynaklandığını gösteren bir kanıt tespit etmedik.”
Ayrıca, faaliyetin, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik olduğu ve tanımlanamayan tehdit aktörlerinin daha önce satın alınan veya bilgi çalan kötü amaçlı yazılım yoluyla elde edilen kimlik bilgilerinden yararlandığı belirtildi.
Mandiant CTO Charles Carmakal, LinkedIn’deki bir gönderisinde, “Tehdit aktörleri, kötü amaçlı yazılımların bilgi hırsızlığı yoluyla elde edilen çalıntı kimlik bilgilerini kullanarak ve tek faktörlü kimlik doğrulamayla yapılandırılmış veritabanlarına giriş yaparak, kuruluşların Snowflake müşteri kiracılarının güvenliğini aktif olarak tehlikeye atıyor.” dedi.
Snowflake ayrıca kuruluşları çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeye ve yalnızca güvenilir konumlardan gelen ağ trafiğini sınırlamaya çağırıyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü yayınlanan bir uyarıda, kuruluşların olağandışı faaliyet belirtilerini tespit etmek ve yetkisiz kullanıcı erişimini önlemek için adımlar atmak için Snowflake tarafından belirtilen yönergeleri takip etmelerini önerdi.
Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi’nden (ACSC) gelen benzer bir tavsiyede, “Snowflake ortamlarını kullanan birkaç şirketin başarılı uzlaşmaları” konusunda uyarıda bulunuldu.
Göstergelerden bazıları, kendilerini “rapeflake” ve “DBeaver_DBeaverUltimate” olarak tanımlayan istemcilerden kaynaklanan kötü amaçlı bağlantıları içeriyor.
Bu gelişme, şirketin bulut veri platformunda müşteri hesaplarını hedef alan kötü amaçlı faaliyetlerde bir artış gözlemlediğini kabul etmesinden birkaç gün sonra gerçekleşti.
Siber güvenlik firması Hudson Rock’tan gelen bir rapor daha önce Ticketmaster ve Santander Bank’a yönelik ihlalin bir Snowflake çalışanının çalınan kimlik bilgilerini kullanan tehdit aktörlerinden kaynaklanmış olabileceğini ima etse de, Snowflake’in hukuk müşavirinden aldığı bir mektup gerekçe gösterilerek bu rapor daha sonra kaldırıldı.
Her ikisi de Snowflake müşterisi olan iki şirketin bilgilerinin nasıl çalındığı şu anda bilinmiyor. Şimdi yeniden dirilen BreachForums’da ikiz ihlallerin sorumluluğunu üstlenen kişi ShinyHunters, DataBreaches.net’e Hudson Rock’ın açıklamasının yanlış olduğunu ve bunun “dezenformasyon” olduğunu söyledi.
Bağımsız güvenlik araştırmacısı Kevin Beaumont, “Bilgi hırsızları önemli bir sorun; gerçek dünyadaki botnet’leri vb. geride bırakalı çok oldu – ve tek gerçek çözüm, sağlam, çok faktörlü kimlik doğrulamadır” dedi. Olayın arkasında bir genç suç örgütünün olduğu düşünülüyor.