Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Краденная база данных Snowflake используется для взломов сотен организаций

13/06/24

ACdw6kV3yAVRtXt2xBp3Cb-1200-80

Итак, неизвестная финансово мотивированная преступная группа, которую эксперты компании Mandiant отслеживают под кодовым именем UNC5537, похитила значительный объем данных из баз данных клиентов Snowflake, используя украденные учётные данные. Об этом пишет Securitylab.

По данным экспертов, до сих пор уведомлено лишь 165 потенциально пострадавших организаций, когда как по факту их может быть гораздо больше. Преступники UNC5537, как сообщается, могут иметь связи с группой Scattered Spider, известной взломами отелей и казино Лас-Вегаса в прошлом году.

В ходе расследования инцидента Mandiant и Snowflake выявили, что утечки данных происходили из-за компрометации учётных данных клиентов. Само корпоративное окружение Snowflake не было взломано.

Первая атака на клиента Snowflake была зафиксирована 14 апреля. В ходе расследования выяснилось, что UNC5537 использовала легитимные учётные данные, украденные ранее с помощью вредоносного ПО, чтобы проникнуть в системы жертвы и похитить данные. У пострадавшего не была включена многофакторная аутентификация.

Примерно через месяц, после обнаружения нескольких компрометаций клиентов, Mandiant и Snowflake начали уведомлять пострадавшие организации. Уже 24 мая преступники стали продавать украденные данные в Интернете, а 30 мая Snowflake выпустила заявление по этому поводу.

Преступники использовали как .NET-, так и Java-версии утилиты, известной как «FROSTBITE», для проведения разведки в системах клиентов Snowflake, идентифицируя пользователей, их роли и IP-адреса. Также использовалась утилита DBeaver Ultimate для выполнения запросов к базам данных.

Некоторые компрометации произошли на устройствах подрядчиков, использовавшихся как для работы, так и для личных целей. Эти устройства представляли значительный риск, так как одно заражение вредоносным ПО могло предоставить доступ злоумышленникам сразу к нескольким организациям.

Все успешные атаки имели три общих черты: отсутствие настроенной многофакторной аутентификации, использование валидных украденных учётных данных, и отсутствие сетевых белых списков.

Отдельно стоит отметить случаи с компаниями Ticketmaster и Santander Bank. Изначально предполагалось, что их массовые утечки данных связаны со взломом Snowflake, но позже это было опровергнуто. В конечном итоге, Snowflake заявила, что были взломаны учётные записи этих клиентов, также по причине использования однофакторной аутентификации.

Позже американская финансовая компания LendingTree подтвердила, что её дочерняя компания QuoteWizard, специализирующаяся на страховании, пострадала в результате взлома. По словам представителя LendingTree, расследование продолжается, и пока не выявлено утечки финансовой информации клиентов или данных самой LendingTree.

Спустя время о взломе заявила и Pure Storage, специализирующаяся на разработке и производстве решений для хранения данных, основанных на флеш-памяти. Компания также подтвердила, что пострадала в результате взлома учётных записей Snowflake. В опубликованном сообщении компания заверила, что клиентские данные не были скомпрометированы, и что взлом касался только одного рабочего пространства Snowflake.

По данным Mandiant, киберпреступная группа UNC5537 использовала учётные данные, украденные с помощью вредоносных программ, начиная с 2020 года. Около 80% всех пострадавших организаций использовали ранее скомпрометированные учётные данные.

Hudson Rock первой обратила внимание на серию взломов клиентов Snowflake. Однако их отчёт быстро был удалён после вмешательства юристов Snowflake, которые оспорили утверждения о взломе учётной записи сотрудника Snowflake. Тем не менее, возможно, если бы не упорство и принципиальность Snowflake, больше компаний сейчас были бы уведомлены о масштабе проблемы и быстрее бы приняли меры для своей защиты.

Темы:Преступлениябазы данныхMandiantHudson Rock
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...