Veri depolama platformu Snowflake’teki son hesap ihlallerine ilişkin Mandiant araştırması, bunların tamamının müşterilerin uygulamadaki başarısızlığından kaynaklandığını doğruladı. çok faktörlü kimlik doğrulama (MFA) ve hesaplarına uygun erişim kontrolü.
Buna göre MandiantUNC5537 olarak takip ettiği, finansal motivasyona sahip bir tehdit aktörü olan Google Cloud’un bir parçası olan .
Güvenliği Ele Geçirilmiş Kimlik Bilgileri Tek Faktör
Saldırgan, hesaplardan veri çaldı ve kurbanlara şantaj yaparak bu verileri gasp etmeye çalıştı ya da verileri siber suç forumlarında satışa sundu. Mandiant herhangi bir kurbanın ismini vermese de diğer güvenlik sağlayıcıları kurbanların isimlerini belirledi Ticketmaster ve Santander Bankası kitlesel kampanyanın birçok kurbanı arasında yer alıyor.
Güvenlik sağlayıcısı, “Mandiant’ın araştırması, Snowflake müşteri hesaplarına yetkisiz erişimin Snowflake’in kurumsal ortamının ihlalinden kaynaklandığını gösteren herhangi bir kanıt bulamadı” dedi. “Bunun yerine, Mandiant’ın bu kampanyayla ilişkili olarak yanıtladığı her olay, güvenliği ihlal edilmiş müşteri kimlik bilgilerine kadar takip edildi.”
Mandiant, UNC5537’nin daha önceki birçok bilgi çalma kampanyasından Snowflake hesaplarına ait kimlik bilgilerini topladığını değerlendirdi. Mandiant’ın araştırdığı çeşitli olaylarda, tehdit aktörünün Snowflake müşteri hesaplarına erişmek için kullandığı kimlik bilgileri şu adresten elde edildi: casus Truva atları Yüklenici sistemlerine kurulur. Mandiant, bu tür kimlik bilgilerinin genellikle Dark Web’de ve diğer birçok kaynakta satışa ve ücretsiz olarak sunulduğunu söyledi.
Önemli olan, UNC5537’nin Snowflake hesaplarına erişmek için kullandığı kimlik bilgilerinin çoğunun en az birkaç yıldır değiştirilmemesidir. Bir örnekte, tehdit aktörü, ilgili Snowflake hesabına erişmek için Kasım 2020’deki bir bilgi çalma kampanyasından alınan bir kimlik bilgisinden yararlandı; bu, kurbanın bu kimlik bilgisini en azından son dört yıldır güncellemediği anlamına geliyordu.
Mandiant, “UNC5537’nin Snowflake müşteri örneklerine karşı yürüttüğü kampanya, herhangi bir yeni veya gelişmiş araç, teknik veya prosedürün sonucu değildir” diye vurguladı. “Etkilenen müşteri örnekleri MFA gerektirmiyordu ve çoğu durumda kimlik bilgileri dört yıldan uzun bir süre boyunca değiştirilmedi. Ağ izin listeleri de güvenilir konumlara erişimi sınırlamak için kullanılmadı.”
Büyüyen Bilgi Hırsızı Tehdidi
Mandiant’ın bulguları şunu hatırlatıyor: muazzam ve giderek artan maruz kalma Kimlik bilgileri hırsızlığından organizasyona ve Bilgi hırsızları için gelişen pazar. Son yıllarda bu trend, güvenlik uzmanlarının kuruluşların MFA’yı uygulama ihtiyacı ve MFA’yı kullanma gibi en iyi uygulamalar hakkındaki çağrılarını artırdı. sıfır güven modelleri ve sınırlı izin listeleri buluttaki verilere erişimi kontrol eder.
Mandiant’ın kıdemli tehdit analisti Austin Larsen, “Mandiant, MFA’nın bu kampanyada Snowflake hesaplarının ele geçirilmesini önleyebileceğini değerlendiriyor” diyor. Gözlemlenen olayların hiçbirinde “Mandiant, aktörün MFA’yı atlayabildiğine dair kanıt tespit etmedi”.
Larsen, Snowflake’in kuruluşların büyük miktarlarda yapılandırılmış ve yapılandırılmamış verileri depolamak ve analiz etmek için kullandığı çoklu bulut veri depolama platformu olma durumunun onu muhtemelen saldırganlar için iyi bir hedef haline getirdiğini söylüyor. “Bu veritabanları genellikle değerli ve hassas bilgiler içeriyor ve bu da mali açıdan motive olan aktörler için cazip bir hedef” diyor. “Bu, tehdit aktörünün bu verilerden gasp ve/veya yer altı forumları aracılığıyla satış yoluyla para kazanma olasılığını artırıyor.”
İlginç bir şekilde, Snowflake hesaplarının ele geçirilmesi büyük ilgi görse de Mandiant, Snowflake olmayan müşterileri de tespit etti ve UNC5537’nin en az altı ay geriye gitmeyi hedeflediğini ekledi Larsen.
Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, Mandiant’ın Snowflake bulgularının reklam panolarında yer alması gerektiğini, ancak mesajın sayısız kez tekrarlandığını ve sağır kulaklara ulaşmaya devam ettiğini söylüyor.
“Parolalardan daha güçlü kimlik doğrulama biçimleri uygulamalı ve MFA’ya ihtiyaç duymayı bile geride bırakmalıyız” diyor. “Bu dersleri zaten birçok kez öğrendik. Bunu yapmanın neden bu kadar zor olduğuna dair bahaneleri de duyduk. Doğru olanı yapma iradesi var olana kadar hiçbir şey değişmeyecek.”
Stytch’in baş teknoloji sorumlusu ve kurucu ortağı Julianna Lamb, şifreleri bir kimlik doğrulama biçimi olarak kullanmaya devam eden şirketlerin, bunların kullanımı üzerinde uygun kontrolleri sağlaması gerektiğini söylüyor. Bu, parolaların yeniden kullanılmasına izin verilmemesi ve kullanıcıların dize parolaları oluşturmasının mümkün olduğu kadar kolay hale getirilmesi anlamına gelir.
Ayrıca kuruluşların, kullanıcıların ihlal edilmiş bir parola kullanmadığından emin olmak için HaveIBeenPwned’in veritabanı gibi siteleri izlemesini de tavsiye ediyor. “Botların ne zaman sahada olduğunu ve kimlik bilgileri doldurmak için kullanıldığını belirlemek için bot önleme tedbirleri ve iki faktörlü kimlik doğrulamanın uygulanması gibi, şifrelerin ötesinde çok sayıda koruma katmanına yatırım yapmak da önemlidir.”