Saldırganlar Snowflake’in güvenliğini mi yoksa yalnızca müşterilerinin hesaplarını ve veritabanlarını mı ele geçirdi? Çelişkili iddialar durumu bulanıklaştırıyor.
Kar Tanesi Nedir?
Snowflake, ABD merkezli bulut tabanlı veri depolama ve analiz şirketidir ve dünya çapında yaklaşık 9.500 kuruluşun müşterisi olduğunu iddia etmektedir.
“Kurumsal açıdan bakıldığında Snowflake genellikle bulut tabanlı bir veri depolama çözümü olarak kuruluyor. Kuruluşlar bir bulut sağlayıcısı (AWS, Azure veya Google Cloud) seçer ve seçilen bölgede Snowflake hesaplarını kurar. Mitiga Kıdemli Bulut Güvenliği Araştırmacısı Doron Karmi, Help Net Security’ye şöyle konuştu: Veriler çeşitli kaynaklardan alınır, dönüştürülür ve SQL kullanılarak analiz edilir.
“Snowflake altyapıyı yönetirken müşterilerin güvenlik ve veri koruma konusunda belirli sorumlulukları var. Bunlar, rol tabanlı erişim kontrolünün (RBAC) uygulanmasını ve veri yönetişim politikalarının uygulanmasını içerir. Müşteriler ayrıca Snowflake’in denetim özelliklerini kullanarak etkinlikleri izlemelidir. Saklanan verilere erişim genellikle RBAC, kimlik sağlayıcılarla tek oturum açma (SSO) entegrasyonu ve IP beyaz listesi veya özel uç noktalar aracılığıyla erişimi kısıtlayan ağ politikaları yoluyla gerçekleştirilir.”
Amaç şantaj olan veri hırsızlığı
Mitiga araştırmacıları, bir tehdit aktörünün (UNC5537), çalınan müşteri kimlik bilgilerinden ve “rapeflake” adlı bir saldırı aracından yararlanarak Snowflake bulut tabanlı platformunu kullanan kuruluşlardan veri çaldığını keşfetti.
UNC5537’nin öncelikle iki faktörlü kimlik doğrulaması olmayan ortamlardan yararlandığını ve saldırıların ticari VPN IP’lerinden geldiğini söylüyorlar. Grup, veri hırsızlığına odaklanıyor ve çalınan verileri hacker forumlarında sunmakla tehdit ederek kuruluşlara şantaj yapmaya çalışıyor.
Help Net Security’ye konuşan Karmi, “UNC5537, Mandiant tarafından kategorize edilmemiş bir tehdit aktörü grubu için kullanılan bir tanımlamadır” dedi.
“Olay ve grubun taktikleri hakkındaki bilgiler henüz tam olarak yayınlanmadı ancak bildiğimiz kadarıyla grup, Snowflake örneklerini bulmak için özel araçlar kullanıyor ve yetkisiz erişim elde etmek için kimlik bilgileri doldurma teknikleri kullanıyor. Erişim elde edildikten sonra, muhtemelen bulut depolama hizmetlerini kullanarak verileri harici konumlara sızdırmak için yerleşik Snowflake özelliklerinden yararlanıyorlar.”
Snowflake’in Bilgi Güvenliği Başkan Yardımcısı ve CISO’su Brad Jones, 23 Mayıs 2024’te belirli müşteri hesaplarına yetkisiz erişim olasılığından haberdar olduklarını söylüyor.
“Araştırmamız sırasında, Nisan 2024’ün ortasından itibaren, yetkisiz erişimle ilgili olduğuna inandığımız bir dizi IP adresi ve şüpheli istemciden gelen tehdit faaliyetlerinde artış gözlemledik” diye ekledi.
“Araştırmalar, bu tür saldırıların, müşterilerimizin ilgisiz siber tehdit faaliyetleri yoluyla açığa çıkan kullanıcı kimlik bilgileriyle gerçekleştirildiğini gösteriyor. Şu ana kadar bu etkinliğin Snowflake ürünündeki herhangi bir güvenlik açığından, yanlış yapılandırmadan veya kötü amaçlı etkinlikten kaynaklandığına inanmıyoruz.”
Snowflake, sınırlı sayıda müşterinin etkilendiğini söylüyor. Güvenlik araştırmacısı Kevin Beaumont, “toplu kazımaların gerçekleştiğini” ve “görünüşe göre çok sayıda verinin bir grup kuruluştan telsizlere gittiğini” söylüyor.
Saldırganlar Snowflake’in güvenliğini ihlal ettiklerini iddia ediyor
Siber güvenlik firması Hudson Rock, bir çalışanın cihazına bir bilgi hırsızı bulaştırarak ve Snowflake’in sunucularına erişim için kimlik bilgilerini ele geçirerek Snowflake’i gerçekten ihlal ettiklerini söyleyen tehdit aktörüyle konuştu.
“Saldırının nasıl gerçekleştirildiğini anlamak için tehdit aktörü, çalıntı kimlik bilgilerini kullanarak bir Snowflake çalışanının ServiceNow hesabında oturum açabildiklerini ve böylece lift.snowflake.com. Sızıntının ardından tehdit aktörü, oturum belirteçleri oluşturabildiklerini ve bunun da şirketten büyük miktarlarda veri sızdırmalarına olanak sağladığını iddia ediyor” dedi.
“Tehdit aktörünün amacı çoğu durumda olduğu gibi Snowflake’e kendi verilerini 20.000.000 dolara geri satın alması için şantaj yapmaktı. Ancak görünen o ki şirket yanıt vermedi.”
Görünüşe göre tehdit aktörü, Ticketmaster ve Santander Bank’a ait verileri bu şekilde çalmayı başardı.
“Diğer hangi şirketlerin saldırıdan etkilendiği hala belirlenmedi. Hudson Rock araştırmacıları, etkilenen şirketlerle müzakerelerin devam etmesi nedeniyle bu bilgilerin yavaş yavaş ve zaman içinde açıklanacağını düşünüyoruz” diye ekledi.
Snowflake yöneticileri ne yapabilir?
Snowflake, bilinen risk göstergelerini, Snowflake yöneticilerinin şüpheli IP adreslerinden ve istemcilerden erişimi tespit etmek için kullanabileceği araştırma sorgularını, veritabanlarına saldırganlar ve saldırı önleme tavsiyeleri.
Mitiga, kuruluşların tehdit avcılığı gerçekleştirmek için Snowflake’in günlüklerinden nasıl yararlanabilecekleri konusunda tavsiyelerde bulundu.
“Her Snowflake ortamında, ‘ACCOUNT_USAGE’ adlı bir şemayı barındıran ‘Snowflake’ adında bir veritabanı vardır. Bu şema, mevcut Snowflake hesabının meta verilerini ve geçmiş kullanım verilerini barındırıyor, gerçekleştirilen her eylemle güncelleniyor ve kapsamlı bir denetim izi sağlıyor” diye açıkladılar.
Veritabanı, anormal kullanıcı etkinliğini ve olağandışı IP adreslerini tespit etmek ve şüpheli oturum açma kalıplarını tespit etmek için kullanılabilir.
Ayrıca Snowlake yöneticilerine, tek oturum açma (SSO) ve çok faktörlü kimlik doğrulamanın (MFA) doğru şekilde uygulanıp uygulanmadığını kontrol etmelerini ve Snowflake veritabanlarına yalnızca yetkili IP adreslerinden erişime izin vermeyi düşünmelerini tavsiye ettiler.