Bugün yayınlanan Google Mandiant raporuna göre, bulut depolama sağlayıcısı Snowflake’in müşterilerinin veri ihlalleri şu ana kadar yaklaşık 165 kuruluşu etkiledi.
İlk iddialar Snowflake ihlalini bulut sağlayıcısının kendi ortamıyla ilişkilendirse de Mandiant, soruşturmasının Snowflake’in ihlallerin çoğunda çok faktörlü kimlik doğrulamanın etkin olmadığı, güvenliği ihlal edilmiş müşteri kimlik bilgilerinden kaynaklandığı yönündeki iddiasını desteklediğini söyledi.
Saldırıya uğrayan yüksek profilli kuruluşlardan bazıları arasında Ticketmaster, Advance Auto Parts, Santander ve daha fazlası yer alıyor.
Kar Tanesi Yarığı Nisan Ayında Keşfedildi
Mandiant, ihlali UNC5537’ye atfediyor: “Snowflake müşteri ortamlarından önemli miktarda kayıt çaldığından şüphelenilen mali motivasyonlu bir tehdit aktörü. UNC5537, çalınan müşteri kimlik bilgilerini kullanarak Snowflake müşteri örneklerini sistematik olarak tehlikeye atıyor, siber suç forumlarında mağdur verilerinin reklamını yapıyor ve kurbanların çoğuna şantaj yapmaya çalışıyor.”
Mandiant, tehdit grubunun Kuzey Amerika merkezli olduğunu ve bir üyesinin de Türkiye’de olduğunu söyledi.
Mandiant araştırmacıları, “Mandiant’ın araştırması, Snowflake müşteri hesaplarına yetkisiz erişimin Snowflake’in kurumsal ortamının ihlalinden kaynaklandığını gösteren herhangi bir kanıt bulamadı” diye yazdı. “Bunun yerine, Mandiant’ın bu kampanyayla ilişkili olarak yanıtladığı her olayın izini, güvenliği ihlal edilmiş müşteri kimlik bilgilerine dayandırıldı.”
Mandiant, Snowflake veri ihlali kampanyasına ilişkin kanıtları ilk olarak Nisan ayında, şirketin “daha sonra bir kurbanın Snowflake örneğinden kaynaklandığı belirlenen veritabanı kayıtlarına ilişkin tehdit istihbaratı aldığında” gördü.
Sonraki araştırmada Mandiant, kuruluşun Snowflake örneğinin, daha önce bilgi hırsızlığı yapan kötü amaçlı yazılımlarla çalınan kimlik bilgilerini kullanan bir tehdit aktörü tarafından ele geçirildiğini buldu. Mandiant, “Tehdit aktörü, çalınan bu kimlik bilgilerini müşterinin Snowflake örneğine erişmek ve sonuçta değerli verileri sızdırmak için kullandı” dedi. Güvenliğin aşıldığı sırada, hesapta çok faktörlü kimlik doğrulama (MFA) etkin değildi.
Bilgisayar Korsanları Bilgi Hırsızı Kampanyalarından Alınan Kimlik Bilgilerini Kullandı
Mandiant, saldırıya uğrayan Snowflake müşterileri üzerinde şu ana kadar yapılan araştırmalarda, UNC5537’nin “esas olarak Snowflake’e ait olmayan sistemlere bulaşan çok sayıda bilgi hırsızlığı kötü amaçlı yazılım kampanyasından elde edilen” çalıntı müşteri kimlik bilgileri aracılığıyla erişim elde edebildiğini tespit ettiğini söyledi.
Bu bilgi hırsızlığı enfeksiyonlarından bazılarının geçmişi, VIDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA ve METASTEALER gibi bilgi hırsızlığı kötü amaçlı yazılım türlerini kullanan 2020 yılına kadar uzanıyor.
Snowflake müşteri örneklerine ilk erişim genellikle Windows Server 2022’de çalışan yerel web tabanlı kullanıcı arayüzü (SnowFlake UI AKA SnowSight) veya komut satırı arayüzü (CLI) aracı (SnowSQL) aracılığıyla gerçekleşti. Mandiant, saldırganın adlandırdığı bir yardımcı programdan yararlanan ek erişim belirledi. Mandiant’ın FROSTBITE olarak takip ettiği “rapeflake”.
Mandiant, MFA eksikliğine ek olarak, etkilenen bazı hesapların, önemli bir süre geçtikten sonra bile çalındıkları için kimlik bilgilerinin güncellenmediğini söyledi. Etkilenen Snowflake örnekleri, yalnızca güvenilir konumlardan erişime izin vermek için ağ izin listelerini de kullanmıyordu.
Şüpheli IP adreslerinin bir listesi VirusTotal’da bulunabilir ve Snowflake ayrıca güvenlik ihlali göstergeleri (IoC’ler) dahil olmak üzere ayrıntılı güvenlik bilgileri yayınladı.