Son iki ayda Snowflake müşteri ortamlarını hedef alan siber saldırı dalgası, gelişmekte olan bir felaketin işaretlerini taşıyor.
En azından 100 Snowflake müşterisinin etkilendiği doğrulandı Snowflake’e devam eden bir soruşturmada yardımcı olan Mandiant’a göre yaklaşık 165 işletme potansiyel olarak saldırıya uğradı.
Veri depolama tedarikçisi Pure Storage, 11 Haziran’da yapılan bir açıklamaya göre halka açık bir forumda saldırılardan etkilendiğini doğrulayan ilk Snowflake müşterisi oldu. güvenlik bülteni.
Uzmanların Snowflake’te depolanan kurumsal bilgilerin çalınmasını içeren saldırılarla ilişkilendirdiği diğer şirketler, üçüncü taraf satıcının adını resmi olarak belirtmedi.
Bulut tabanlı veri ambarı satıcısı, saldırıların bir güvenlik açığından, yanlış yapılandırmadan veya sistemlerindeki ihlallerden kaynaklanmadığını söylüyor. Mandiant, bunun yerine, Snowflake’e ait olmayan sistemlerdeki çok sayıda bilgi hırsızı kötü amaçlı yazılım bulaşmasından elde edilen çalınan kimlik bilgilerinin, saldırıların giriş noktası olduğunu söyledi. Etkilenen müşteri hesapları çok faktörlü kimlik doğrulamayla yapılandırılmamıştır.
Snowflake CISO’su Brad Jones, 5 Haziran’da Cybersecurity Dive’a yaptığı açıklamada, “Müşterilerimizle, çok faktörlü kimlik doğrulama ve ağ erişim politikalarını etkinleştirmek de dahil olmak üzere kendilerini en iyi şekilde nasıl koruyacakları konusunda iletişim kuruyoruz” dedi.
“Snowflake aynı zamanda kötü niyetli faaliyete dair güçlü göstergelerin bulunduğu bazı kullanıcı hesaplarını da askıya alıyor. Ayrıca siber tehditle ilişkili olarak belirlediğimiz ve güven düzeyi yüksek IP adreslerini de aşamalı olarak engelliyoruz” dedi.
İlk temas
Snowflake müşteri örneklerine yetkisiz erişime ilişkin ilk kanıt, 14 Nisan’da ortaya çıktı. Mandiant’ın 10 Haziran tehdit istihbaratı raporu saldırılar üzerine.
Olay müdahale firması, 19 Nisan’da bilinmeyen bir veritabanından çalınan verileri araştırmaya başladığını söyledi. Mandiant, Snowflake ile doğrulanan ilk bağlantıyı 14 Mayıs’ta olay müdahale müşterilerinden ikisinin Snowflake kiracılarından veri kaybettiğini öğrendiğinde tespit etti.
“Tehdit kampanyalarını araştırmak karmaşıktır ve bağlantılar genellikle başlangıçta belirgin değildir.” Mandiant Consulting CTO’su Charles Carmakal Siber Güvenlik Dalışına söyledi. “Sonunda Snowflake ile ilgili bir tehdit kampanyasına dönüşen olaya ilişkin araştırmamıza başladığımızda, tehdit aktörünün birden fazla Snowflake müşteri kiracısının güvenliğini ihlal ettiğini henüz bilmiyorduk.”
Mandiant, 22 Mayıs’ta ek Snowflake müşterilerini etkileyen geniş bir kampanyanın kanıtlarını ortaya çıkardı. Olay müdahale firması, saldırıları Snowflake’e ve kolluk kuvvetlerine aynı gün bildirdiğini söyledi.
“Bunun birden fazla kurbanı etkileyen bir tehdit kampanyası olduğunu öğrendiğimizde, o sırada bildiklerimizi Snowflake’e bildirdik. Hala bir şeyleri çözmeye çalıştığımız için henüz tam bilgiye sahip değildik” dedi Carmakal.
“Bizimle yaptığımız görüşmeler [Snowflake] Kampanyanın daha fazlasını ortaya çıkardıkça gelişti. Onlarla çalıştıkça kampanya hakkında daha fazla bilgi edinmeye devam ettik” dedi Carmakal.
Veri hırsızlığı
Mandiant’a göre, bir siber suçlunun Snowflake müşteri veritabanından çalındığı iddia edilen verilerin satışa sunulduğu bilinen en eski örnek 24 Mayıs’ta meydana geldi.
kar tanesi müşterilerin veritabanlarına yapılan saldırıları açıkladı 30 Mayıs’ta sağlandı ve uzlaşma göstergeleri ve önerilen ek eylemler şirketlerin Snowflake hesaplarındaki potansiyel tehdit faaliyetlerini araştırması için.
Snowflake ve Mandiant, çalınan müşteri kimlik bilgilerinin kaynağı olarak bilgi hırsızlığı yapan kötü amaçlı yazılımlara işaret ederken, şirketler neden kısa bir süre içinde Snowflake müşterilerine bu kadar çok sayıda saldırının isabet ettiğini veya neden tüm saldırıların Snowflake’i işaret ettiğini açıklayan bilgileri paylaşmadı.
Mandiant ve CrowdStrike’ın yardımıyla saldırılarla ilgili soruşturma sürüyor.
Sıradaki ne?
Veri hırsızlığından, gasp taleplerinden ve çalındığı iddia edilen verilerin karanlık ağda satışına yönelik reklamlardan kurtulan belirli şirketler çoğunlukla gizemini koruyor.
Snowflake, saldırılardan etkilenen hiçbir müşteriyi tespit etmedi. Analistler ve tehdit avcıları, giderek daha fazla şirketin önemli ölçüde riske maruz kaldığı ve hasarın yayıldığı konusunda uyarıyor.
Bir Mandiant sözcüsü Cybersecurity Dive’a verdiği demeçte, Mandiant’ın UNC5537 olarak adlandırdığı mali motivasyonlu saldırganın 13 Haziran itibarıyla Snowflake müşteri ortamlarından çalınan verilerle kurbanlardan aktif olarak şantaj yaptığını söyledi.