3. Parti Risk Yönetimi, Bulut Güvenliği, Siber Suçlar
Müfettişlerin Raporuna Göre Saldırganlar Çalınan Verileri Silmek İçin 5 Milyon Dolara Kadar Talep Ediyor
Mathew J. Schwartz (euroinfosec) •
20 Haziran 2024
Bulut tabanlı veri depolama platformu Snowflake’in müşterilerinden terabaytlarca veri çalan saldırganlar, kurbanları sarsıyor ve sızdırılan verilerin sızmaması için fidye talep ediyor.
Ayrıca bakınız: Gelişen Tehditler Gelişen Özel Bulut Güvenliği Gerektiriyor
Google’ın Mandiant olay müdahale grubu, olaya karışan suç grubunun “mağdurlara şantaj yapmak için çalınan müşteri verilerini kullandığını ve aynı zamanda verileri siber suç forumlarında satmaya çalıştığını” söyledi. Mandiant, Snowflake’in yaklaşık 165 müşteri hesabını etkilemiş görünen veri ihlaline ilişkin soruşturmasına yardımcı oldu.
Live Nation Entertainment’ın Ticketmaster’ı, Santander Bank ve otomotiv parça tedarikçisi Advance Auto Parts dışında kurbanların çoğu henüz kamuya açıklanmadı.
Mandiant, Bloomberg’e, kampanyayı ilk kez Nisan ayında tespit ettiğinden bu yana UNC5537 kod adı altında takip ettiği saldırganlardan her biri 300.000 ila 5 milyon dolar arasında fidye talepleri alan 10 kadar Snowflake müşterisini bildiğini söyledi.
Mandiant’ın kıdemli tehdit analisti Austin Larsen, Bloomberg’e “Aktörün kurbanlara şantaj yapmaya devam etmesini bekliyoruz” dedi.
Mandiant Pazartesi günü Snowflake için “Snowflake müşteri veri tabanı örneklerinde anormal ve kötü amaçlı etkinlikleri tespit etmeye yönelik rehberlik ve sorguları” içeren bir tehdit avlama kılavuzu yayınladı. Mandiant, tüm örneklerin bu tür tehdit avı için gereken günlük verilerini varsayılan olarak 365 gün boyunca sakladığını söyledi.
Merkezi Bozeman, Montana’da bulunan ve bulut tabanlı veri depolama ve analiz hizmeti olarak 2012 yılında kurulan Snowflake, ürün ve hizmetleri arasında Yapay Zeka Veri Bulutu’nu da sunuyor. Şirketin müşterileri arasında CapitalOne, Citi, Dropbox, Exxon Mobil ve KFC bulunmaktadır.
Bu kampanyanın bilinen kurbanları arasında, saldırganların 680 milyon müşteriye ait verileri çaldığı iddia edilen Live Nation Entertainment’a ait Ticketmaster da yer alıyor. Saldırganlar, bu verileri yönetici ShinyHunters liderliğindeki İngilizce veri sızıntısı pazarı BreachForums’ta satışa sundular (bkz: Çalınan Ticketmaster Verileri Yeniden Başlatılan BreachForum’larda İlan Edildi).
Perşembe günü BreachForums kullanıcısı Sp1d3r, “Ticketmaster’ın bizden veri satın alma talebine yanıt vermeyeceğini” bildirdi ve satış fiyatını 100.000 dolara düşürdü. Sp1d3r ayrıca veri sızıntısı pazarına ücretsiz olarak 1 milyon müşterinin adı, adresi, e-posta adresi, doğum tarihi, kredi kartı numarasının son dört rakamı ve daha fazlasını içeren verileri aktardığını iddia etti.
Çalınan veri setlerinin üretken bir posteri olan Sp1d3rm, daha önce Şili, İspanya ve Uruguay’da bulunan Santander Bank müşterilerinin yanı sıra şirket içi çalışan verilerine ait çalınan veriler BreachForums’ta satışa sunuldu. Veri setinin reklamında, 14 Mayıs’ta müşterilere veri ihlali yaşadığını belirten bir güvenlik uyarısı yayınlayan Santander’e ait 6 milyon hesap numarası ve bakiye ile 28 milyon kredi kartı numarasının yer aldığı belirtildi. Santander daha sonra müşterilere şifrelerini değiştirmelerini tavsiye etti.
Wired’ın haberine göre, çalınan Santander verileri bir Snowflake hesabında saklanıyor ve kampanyaya katılan başıboş saldırganlar grubu kendilerine ShinyHunters adını veriyor. ShinyHunters, 2020’de kurulan, bir dizi büyük veri ihlali gerçekleştiren ve kolluk kuvvetleri tarafından kesintiye uğramadan önce BreachForums’un önceki örneğine öncülük eden üretken bir siber suç grubunun adıdır.
4 Haziran’da Sp1d3r, araştırdığını belirten Advance Auto Parts’tan çalınan verileri satışa sundu. Cuma günü şirket, ABD Menkul Kıymetler Borsası Komisyonu’na sunduğu 8-K Formunda, 23 Mayıs’ta “şirket verilerini içeren üçüncü taraf bir bulut veritabanı ortamında yetkisiz faaliyet tespit ettiğini ve sektör lideri uzmanlarla bir soruşturma başlattığını” söyledi. Bleeping Computer’ın ilk bildirdiği gibi.
Şirket, çalınan veriler üzerinde yapılan incelemede saldırganın, Sosyal Güvenlik numaraları ve resmi kimlik belgeleri de dahil olmak üzere mevcut ve eski çalışanlara ait kişisel bilgileri elde ettiğini tespit ettiğini söyledi. Şirket, etkilenen bireyleri doğrudan bilgilendireceğini ve ücretsiz kredi izleme hizmetleri sunacağını söyledi.
9 Haziran’da veri depolama platformu Pure Storage, üçüncü taraf bir siber güvenlik firmasıyla birlikte bir saldırganın Snowflake ortamına eriştiğini ve e-posta adresleri, şirket bilgileri de dahil olmak üzere “Pure’un proaktif müşteri destek hizmetleri sağlamak için kullandığı telemetri bilgilerini” çaldığını tespit ettiğini bildirdi. adlar ve LDAP kullanıcı adları, ancak parolalar veya başka herhangi bir “tehlike yaratan bilgi” yok.
“Pure, müşterilerimizin sistemlerini izliyor ve olağandışı herhangi bir aktiviteye rastlamadı” dedi. “Şu anda benzer şekilde Pure sistemlerini hedef alan olağandışı bir etkinlik tespit etmeyen müşterilerle iletişim halindeyiz.”
Snowflake kampanyasının şüpheli ancak henüz doğrulanmamış kurbanlarından biri de QuoteWizard sigorta platformuyla ilgili bir ihlale maruz kalmış gibi görünen LendingTree’dir.
Snowflake Müşterilerinin Verilerinin İhlal Edilmesi
Kötü niyetli yardımcı programı “Frostbite” olarak izleyen Mandiant, saldırganların çoğu sisteme, Snowflake’in web tabanlı kullanıcı arayüzü olan SnowSight’ı veya SnowSQL komut satırı arayüz aracını “rapeflake” adını verdikleri bir yardımcı programı kullanarak hedef alarak elde ettiklerini söyledi. “
Mandiant, bazı ihlallerin bilgisayarlarını hem ticari hem de kişisel amaçlarla kullanan üçüncü taraf yüklenicilerin çalışanlarından kaynaklandığını söyledi. Saldırganlar bilgisayarlara bilgi çalan kötü amaçlı yazılım bulaştırdı.
ShinyHunters’ın bir parçası olduğunu iddia eden bir bilgisayar korsanı, Wired’a kampanyanın kurbanlarından birinin, çok sayıda müşteriye yazılım geliştirme ve yönetim hizmetleri sunan halka açık bir firma olan EPAM Systems olduğunu söyledi. EPAM, yayına hackerın yalan söylediğine inandığını söyledi.
Snowflake müşterilerini hedef alan bir kampanyaya ilişkin uyarılar ilk olarak geçen ay ortaya çıktı. 30 Mayıs’ta Ticketmaster verileri satışa çıktıktan sonra Snowflake, “Snowflake üretim ortamında potansiyel bir tehlike” gördüğünü bildirdi ve etkilenmiş olabilecek tüm müşterileri derhal bilgilendirdiğini söyledi.
Avustralya’nın Sinyal Direktörü 1 Haziran’da “Snowflake müşteri ortamlarıyla ilgili artan siber tehdit faaliyetlerini takip ettiğini” ve “Snowflake ortamlarını kullanan birçok şirketin başarılı uzlaşmalarının farkında olduğunu” bildirdi.
Snowflake, 2 Haziran’da işe aldığı üçüncü taraf siber güvenlik olay müdahale ekipleri (CrowdStrike ve Mandiant) ile önemli bulguların ayrıntılarını içeren ortak bir bildiri yayınladı. Saldırganların, yöneticilerin çok faktörlü kimlik doğrulamayı etkinleştirmediği hesapları ihlal etmek için çalınan kullanıcı adı ve şifre çiftlerini kullandığı belirtildi. Snowflake, “Bu kampanyanın bir parçası olarak, tehdit aktörleri daha önce satın alınan veya bilgi hırsızlığı yapan kötü amaçlı yazılımlar aracılığıyla elde edilen kimlik bilgilerinden yararlandı” dedi (bkz: Uyarı: Bilgi Hırsızları Depolanan Tarayıcı Kimlik Bilgilerini Hedef Alır).
İngiliz güvenlik araştırmacısı Kevin Beaumont, 2 Haziran tarihli bir blog yazısında “Olaylar, tüm veritabanlarının alındığı Snowflake müşterisi olan birden fazla şirkette yaşanıyor” dedi. “Mayıs ayında Snowflake aracılığıyla önemli miktarda veri sızıntısı yaşayan büyük şirketlerde birden fazla sektörden insanlarla konuştum.”
Snowflake, “Bugüne kadar bu etkinliğin Snowflake ürünü içindeki herhangi bir güvenlik açığından, yanlış yapılandırmadan veya kötü amaçlı etkinlikten kaynaklandığına inanmıyoruz” dedi.
Mandiant, soruşturmasında “Snowflake müşteri hesaplarına yetkisiz erişimin Snowflake’in kurumsal ortamının ihlalinden kaynaklandığını gösteren herhangi bir kanıt bulamadığını. Bunun yerine, Mandiant’ın bu kampanyayla ilişkili olarak yanıtladığı her olayın, güvenliği ihlal edilmiş müşteri kimlik bilgilerine kadar takip edildiğini” söyledi.
Mandiant Consulting CTO’su Charles Carmakal şunları söyledi: “Hedeflenen tehdit kampanyasına, MFA olmadan yapılandırılmış Snowflake müşteri hesapları, genellikle kişisel bilgisayarlardan bilgi çalan kötü amaçlı yazılımlar tarafından çalınan kimlik bilgileri ve ağ izin listeleri olmadan yapılandırılan kiracılar dahil olmak üzere birçok faktör katkıda bulundu.”
Mandiant, Snowflake kullanıcılarını hedef alan saldırganların en az Kasım 2020’den bu yana bilgi çalan yazılımları kullandığını ve o tarihten bu yana “bilgi çalanlar aracılığıyla açığa çıkan yüzlerce müşterinin Snowflake kimlik bilgilerini tespit ettiğini” söyledi.
Saldırganların ihlal stratejilerini çok daha fazla ortama uygulamalarını bekleyebilirsiniz. Carmakal, “Bu tehdit aktörünün ve diğerlerinin bu kampanyayı diğer SaaS çözümlerinde tekrarlayacağını tahmin ettiğimiz için, kuruluşların bilgi hırsızları tarafından çalınan kimlik bilgilerine maruz kalma durumlarını değerlendirmeleri kritik önem taşıyor” dedi.
MFA eksikliği
Bu yıl UnitedHealth Group’un Change Healthcare biriminin ihlali ve 2022’deki Avustralya Medibank hack’i de dahil olmak üzere çok sayıda büyük veri ihlali, kısmen MFA tarafından korunmayan bir sisteme eriştikleri için saldırganların uzaktan oturum açabilmesini içeriyordu.
Bu ayın başına kadar Snowflake, müşterilerine kullanıcılarının MFA kullanmasını zorunlu kılacak hiçbir yol vermiyordu ve sunulan tek ikinci faktör, Snowflake tarafından yönetilen Cisco Duo sürümüydü. Ayrıca MFA, her hesap sahibi tarafından yalnızca hesap bazında etkinleştirilebiliyordu.
11 Haziran’da Snowflake, yöneticilerin artık kullanıcıların tek oturum açma için SAML, anahtar çifti oluşturan bir şifreleme donanım anahtarı veya OAuth gibi ikinci bir faktör kullanarak kimlik doğrulamasını zorunlu kılmak için ağ politikaları oluşturabileceğini söyleyen güncellenmiş güvenlik kılavuzunu yayınladı. Güvenlik tavsiyesi ayrıca şirketin müşterileri hedef alan kötü amaçlı faaliyetlerle ilişkilendirdiği yaklaşık 300 IP adresini de ayrıntılarıyla anlatıyor.
Snowflake CISO Brad Jones, Wired’a şirketin artık MFA kimlik doğrulamasını tüm kullanıcılar için varsayılan seçenek haline getirmeye çalıştığını söyledi.