Snowflake na celowniku hakerów

Jak donosi Mandiant (firma zajmująca się bezpieczeństwem systemów IT), grupa hakerska UNC5537 włamała się do chmurowego sytemu pamięci masowej należącego do znanej firmy Snowflake i wykradli z niego poufne dane należące do korzystających z jej usług klientów.

Grafika: Jack Moreh/freerangestock

Hakerzy, którzy przeprowadzili atak z terenu USA, przejęli dane należące do ponad 150 firm korzystających z usług firmy Snowflake. Ich metoda działania jest prosta. Po przeprowadzeniu ataku próbują zawsze wymusić okup w zamian za odzyskanie plików lub grożą, że w przypadku niespełnienie tego żądania opublikują je w internecie.

Śledztwo wykazało, że za incydent nie odpowiada firma Snowflake, gdyż hakerzy posłużyli się danymi uwierzytelniającymi jej klientów, które zostały wcześniej skradzione z zewnętrznych systemów. Zaatakowane instancje klientów firmy Snowflake nie dość iż nie były chronione przez system uwierzytelniania wieloskładnikowego, ale nie towarzyszyła im również lista znanych sieci, które mogły mieć do nich dostęp. Hakerzy uzyskiwali dostęp do instancji za pomocą natywnego, internetowego interfejsu użytkownika.

Zobacz również:

  • Polskie firmy pod ostrzałem oprogramowania ransomware
  • Aresztowano sprawców zuchwałego włamania do sieci Etherum
  • Snowflake pracuje nad wzmocnieniem kontroli bezpieczeństwa

Madiant podkreśla, że ataki grupy UNC5537 na instancje klientów firmy Snowflake nie bazują na jakimś szczególnie nowatorskim scenariuszu. Wszystko wskazuje na to iż ataki zaczęły się już w połowie kwietnia, a ich celem były konta, które nie posiadały odpowiednich zabezpieczeń wykorzystujących uwierzytelnianie dwuskładnikowe. Mandiant twierdzi, że niektóre dane uwierzytelniające użyte w kampanii zostały skradzione wiele lat temu z użyciem szeregu złośliwych programów, takich Lumma, Meta czy Racoon Stealer.

Snowflake nie wymaga od swoich klientów domyślnego używania dodatkowych funkcji bezpieczeństwa, takich jak zamierza uwierzytelnianie dwuskładnikowe. Po wykryciu ataku firma oświadczyła jedynie, że wdroży w najbliższej przyszłości regulamin mający na celu zmuszenie klientów do tego, aby stosowali uwierzytelnienie dwuskładnikowe, co znakomicie utrudni życie hakerom. Nie podała jednak szczegółowego harmonogramu wprowadzenia w życie takiego wymogu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200