Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Kimlik ve Erişim Yönetimi
Akşaya Asokan (asokan_akshaya) •
10 Haziran 2024
Siber tehdit istihbarat firması Mandiant, Snowflake müşterilerine yönelik bilgi hırsızlığı odaklı saldırılara ilişkin bir araştırmanın, yaklaşık 165 müşterinin verilerinin finansal motivasyonlu bilgisayar korsanları tarafından potansiyel olarak çalındığını gösterdiğini söylüyor.
Ayrıca bakınız: Dijital Ödemelerin Geleceği
Bir veri yönetimi platformu sağlayıcısı olan Snowflake, bu ayın başlarında kampanyayı, çok faktörlü kimlik doğrulamayı etkinleştirmemiş müşterilerin savunmasız olduğuna dair bir uyarıyla birlikte açıkladı (bkz.: Kimlik Bilgisi Saldırılarıyla Hedeflenen Snowflake İstemcileri).
Google’ın sahibi olduğu Mandiant, Pazartesi günü yapılan saldırıları, şu anda UNC5537 olarak takip ettiği bir dizi tehdit faaliyetine bağladı. Tehdit aktörü “dünya çapında yüzlerce kuruluşu hedef aldı ve mali kazanç elde etmek için sıklıkla mağdurlardan şantaj yapıyor.”
Mandiant Consulting’in CTO’su Charles Carmakal, “UNC5537, 100’den fazla Snowflake müşteri kiracısına erişmek için çalınan kimlik bilgilerinden yararlandı” dedi. Mandiant, kampanyayı ilk kez Nisan ayında tespit ettiğini söylüyor.
Carmakal, Information Security Media Group’a şunları söyledi: “Tehdit aktörü sistematik olarak müşteri kiracılarının güvenliğini ihlal etti, verileri indirdi, kurbanlara şantaj yaptı ve kurban verilerinin siber suç forumlarında satışa sunulduğunu duyurdu.”
Bilgisayar korsanları, idar, Risepro, Redline, Raccoon Stealer Lumma ve Metastealer dahil olmak üzere çeşitli bilgi hırsızlığı yapan kötü amaçlı yazılım türlerinin dört yıl öncesine kadar uzanan saldırılarda açığa çıkan Snowflake müşteri kimlik bilgilerini kullandı.
Bilgisayar korsanlığı çılgınlığıyla bağlantılı olası kurbanlar arasında, 560 milyon müşterinin bilgilerini tehlikeye atan bir ihlalin Snowflake altyapısında barındırılan bir veritabanını içerdiğini kabul ettiği bildirilen Ticketmaster da yer alıyor. Çevrimiçi kredi aracısı LendingTree’nin ayrıca TechCrunch’a yan kuruluşu QuoteWizard’ın “verileri bu olaydan etkilenmiş olabileceğini” söylediği bildirildi.
Görünüşe göre Snowflake ihlalleriyle bağlantılı verilerin toplandığı yerlerden biri, yakın zamanda FBI tarafından hedef alınan bir suç sitesi olan İngilizce forum BreachForums oldu. Sitenin yeniden oluşturulmuş bir sürümüne Pazartesi öğleden sonra açık web ve karanlık ağda erişilemediği görüldü.
Mandiant, çoğu saldırıda ilk erişimi elde etmek için UNC5537’nin Snowflake’in web tabanlı kullanıcı arayüzü olan SnowFlake UI’yi (diğer adıyla SnowSight) ve ayrıca bir komut satırı etkileşim aracı olan SnowSQL’i hedef aldığını söylüyor. Saldırganlar, Mandiant’ın “Frostbite” olarak takip ettiği “rapeflake” adını verdikleri bir yardımcı program çalıştırıyordu.
Bazı durumlarda saldırganlar, Java uygulamasının bir veritabanıyla etkileşime girmesi için gerekli bir bileşen olan Snowflake JDBC sürücüsüyle etkileşime giren yardımcı programın .NET ve Java sürümlerini kullandı. Bu, saldırganların kullanıcılar, mevcut roller, mevcut IP’ler, oturum kimlikleri ve kuruluş adları gibi bilgilere erişmesine olanak tanıdı.
Snowflake yorum talebine hemen yanıt vermedi ancak Cuma günü yapılan bir güncellemede şirket, çok faktörlü kimlik doğrulamayı etkinleştirmek için müşterilerle birlikte çalıştığını söyledi.
Carmakal, “MFA olmadan yapılandırılmış Snowflake müşteri hesapları, bilgi hırsızı kötü amaçlı yazılımlar tarafından çalınan kimlik bilgileri (genellikle kişisel bilgisayarlardan) ve ağ izin listeleri olmadan yapılandırılmış kiracılar dahil olmak üzere, hedeflenen tehdit kampanyasına birden fazla faktörün birleşimi katkıda bulundu.” dedi.
Bazı güvenlik uzmanları, çok faktörlü kimlik doğrulamanın etkinleştirildiğinden daha kolay göründüğünü söylüyor. Güvenlik araştırmacısı Kevin Beaumont, “Snowflake ile şu anda kuruluşların MFA çözümlerinin kuruluş genelinde etkinleştirilmesini sağlamanın kolay bir yolu yok; bir kuruluş içindeki her kullanıcının MFA’yı manuel olarak kaydettirmesi gerekiyor” dedi.
Beaumont, ISMG’ye şöyle konuştu: “Snowflake’in tuttuğu veriler (büyük miktarlardaki genellikle hassas veriler) ve MFA kurulumları nedeniyle, müşterileri kolay seçilebildiği için hedefleniyor. Snowflake’in bunu düzeltmesi gerekiyor, aksi takdirde ihlaller gelmeye devam edecek.”