Bulut bilişim ve analiz şirketi Snowflake, hedeflenen kampanya kapsamında “sınırlı sayıda” müşterisinin seçildiğini söyledi.
Şirket, “Bu etkinliğin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren bir kanıt tespit etmedik” dedi. söz konusu CrowdStrike ve Google’ın sahibi olduğu Mandiant ile birlikte ortak bir açıklamada.
“Bu faaliyetin mevcut veya eski Snowflake personelinin kimlik bilgilerinin tehlikeye atılmasından kaynaklandığını gösteren bir kanıt tespit etmedik.”
Ayrıca, faaliyetin, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik olduğu ve tanımlanamayan tehdit aktörlerinin daha önce satın alınan veya bilgi çalan kötü amaçlı yazılım yoluyla elde edilen kimlik bilgilerinden yararlandığı belirtildi.
Mandiant CTO Charles Carmakal, “Tehdit aktörleri, kötü amaçlı yazılımların bilgi hırsızlığı yoluyla elde edilen çalıntı kimlik bilgilerini kullanarak ve tek faktörlü kimlik doğrulamayla yapılandırılmış veritabanlarına giriş yaparak kuruluşların Snowflake müşteri kiracılarının güvenliğini aktif olarak tehlikeye atıyor.” söz konusu LinkedIn’deki bir gönderide.
Snowflake ayrıca kuruluşları çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeye ve yalnızca güvenilir konumlardan gelen ağ trafiğini sınırlamaya çağırıyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü yayınlanan bir uyarıda, tavsiye edilen Kuruluşlar, olağandışı etkinlik belirtilerini tespit etmek ve yetkisiz kullanıcı erişimini önlemek için gerekli adımları atmak için Snowflake tarafından belirtilen yönergeleri takip eder.
Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi’nden (ACSC) benzer bir tavsiye uyardı “Snowflake ortamlarını kullanan birkaç şirketin başarılı uzlaşmaları.”
Göstergelerden bazıları katmak Kendilerini “rapeflake” ve “DBeaver_DBeaverUltimate” olarak tanımlayan istemcilerden kaynaklanan kötü amaçlı bağlantılar.
Bu gelişme, şirketin bulut veri platformunda müşteri hesaplarını hedef alan kötü amaçlı faaliyetlerde artış gözlemlediğini kabul etmesinden birkaç gün sonra gerçekleşti.
Siber güvenlik firması Hudson Rock’ın bir raporu daha önce Ticketmaster ve Santander Bank’ın ihlalinin bir Snowflake çalışanının çalınan kimlik bilgilerini kullanan tehdit aktörlerinden kaynaklanmış olabileceğini ima etmişti. aşağı çekilmişSnowflake’in hukuk müşavirinden aldığı bir mektuba atıfta bulunarak.
Her ikisi de Snowflake müşterisi olan iki şirketin bilgilerinin nasıl çalındığı şu anda bilinmiyor. Şimdi yeniden dirilen BreachForums’da ikiz ihlallerin sorumluluğunu üstlenen kişi ShinyHunters, söylenmiş DataBreaches.net, Hudson Rock’ın açıklamasının yanlış olduğunu ve bunun “dezenformasyon” olduğunu söyledi.
Bağımsız güvenlik araştırmacısı Kevin Beaumont, “Bilgi hırsızları önemli bir sorun; gerçek dünyadaki botnet’leri vb. geride bırakalı çok oldu – ve tek gerçek çözüm, sağlam, çok faktörlü kimlik doğrulamadır.” söz konusu. Olayın arkasında bir genç suç örgütünün olduğu düşünülüyor.
