Dünya çapında Snowflake’i çalıştıran yaklaşık 165 kuruluş, müşteri ortamlarına erişim sağlamak için çalıntı kimlik bilgilerinin kullanıldığı bir kampanyaya maruz kalmış olabilir.
Mandiant bir blog yazısında, UNC5537 olarak adlandırdığı tehdit aktörünün “Snowflake müşteri ortamlarından önemli miktarda kayıt çaldığından şüphelenildiğini” söyledi.
Olay müdahale firması, UNC5337’nin hem internet hem de karanlık ağdaki “çeşitli farklı bilgi hırsızlığı günlükleri kaynaklarına erişerek” Snowflake ortamları için bir kimlik bilgileri listesi oluşturduğunu söyledi.
Infostealer kötü amaçlı yazılımı, sistemlerden bilgi edinmek için kullanılan bir tür truva atıdır. Mandiant, çalınan Snowflake kimlik bilgilerinin “esasen Snowflake’e ait olmayan sistemlere bulaşan çok sayıda bilgi hırsızı kötü amaçlı yazılım kampanyasından elde edildiğini” söyledi.
Mağdur kuruluşların genellikle kendileri için çok faktörlü kimlik doğrulaması (MFA) kurulmamış, kimlik bilgilerini düzenli olarak değiştirmeyen ve/veya aşırı hoşgörülü ağ kurallarına sahip Snowflake hesapları vardı.
Mandiant, “Etkilenen müşteri örnekleri çok faktörlü kimlik doğrulama gerektirmiyordu ve çoğu durumda kimlik bilgileri dört yıl boyunca değiştirilmedi” dedi.
“Güvenilen konumlara erişimi sınırlamak için ağ izin listeleri de kullanılmadı.
“Bu kampanyanın geniş etkisi, kimlik bilgilerinin izlenmesine, MFA’nın evrensel olarak uygulanmasına ve güvenli kimlik doğrulamaya, kraliyet mücevherleri için güvenilir konumlara yönelik trafiğin sınırlandırılmasına ve anormal erişim girişimlerine karşı uyarı verilmesine yönelik acil ihtiyacın altını çiziyor.”
Mandiant, faaliyetin niteliğinin, diğer kampanyaların da benzer şekilde diğer hizmet olarak yazılım platformlarını hedef alabileceğini öne sürdüğünü söyledi.
“Bu kampanya, bilgi hırsızlığı pazarında dolaşan büyük miktardaki kimlik bilgilerinin sonuçlarını vurguluyor ve benzer SaaS platformlarındaki tehdit aktörlerinin belirli bir odağını temsil ediyor olabilir” dedi.
“Mandiant, UNC5537’nin yakın gelecekte ek SaaS platformlarını hedef alarak bu saldırı modelini sürdüreceğini değerlendiriyor.”
CrowdStrike aynı zamanda olaylara müdahale çalışmalarına da dahil oldu.
Snowflake bir forum gönderisinde “işlerine yönelik siber tehditleri azaltmak için güvenlik önlemlerini sıkılaştırırken müşterilerle yakın işbirliği içinde çalışmaya devam ettiğini” söyledi.
“Biz [also] Müşterilerimizin çok faktörlü kimlik doğrulama veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamalarını gerektirecek bir plan geliştirmek” dedi.
Snowflake, mevcut veya eski herhangi bir personelin platform kimlik bilgilerinin tehlikeye girdiğini gösteren hiçbir kanıt bulamadığını söyledi.
Mandiant, UNC5537’nin mali amaçlı olduğunu ve kurbanlara şantaj yapmaya çalıştığını söyledi.