Bir siber güvenlik şirketi olan Mandiant, 10 Haziran’da Snowflake müşterilerini etkileyen bir saldırı kampanyasını anlatan bir blog yazısı yayınladı. Potansiyel olarak maruz kalan yaklaşık 165 kuruluş sayılıyor. Aynı zamanda bulutta veri yönetimi konusunda uzmanlaşmış şirketin yönüne de gidiyor ve eksik bulunanın kendi sistemleri olmadığını doğruluyor.
“Finansal motivasyona sahip bir tehdit aktörü”
Ticketmaster ve LendingTree, şimdiye kadar Snowflake müşterilerini hedef alan kampanyayla bağlantılı verilerin çalındığını kabul eden tek iki şirket oldu. Techcrunch. Bazı gruplar sadece araştırdıklarını söyledi.
Şimdiye kadar potansiyel kurban sayısı belirsiz kalmıştı. Snowflake ortamlarından önemli miktarda verinin çalındığı ancak bunun platform müşterilerinin küçük bir kısmını ilgilendirdiği belirtildi. İkincisinin yaklaşık 9.800 müşterisi olduğunu iddia ediyor, Mandiant’ın öne sürdüğü sayı bu iddiayı doğruluyor.
Snowflake, Mandiant ve bir başka siber güvenlik uzmanı olan CrowdStrike, mevcut operasyonun tüm ayrıntılarını belirlemek için birlikte çalışıyor. Google’ın iki yıl önce satın aldığı şirket, yayınladığı blog yazısında saldırganın kimliğini UNC5537 adıyla tespit ediyor: ” finansal motivasyona sahip bir tehdit aktörü “.
Toplanan bilgiler mağdurlara satılıyor veya onlara şantaj yapmak için kullanılıyor. Gasp ilkesi basittir; ya ödeme yapılır ya da potansiyel olarak hassas olan bu veriler doğada bulunur.
Birlikte ” orta derecede güven » Bu çetenin Kuzey Amerika’da ve Türkiye’de birer üyesi olduğundan şüpheleniliyor. Herhangi bir özel yenilikçi araç kullanmıyor gibi görünüyor. Bu kampanya için, Snowflake ortamlarına ait kimlik bilgilerinin, uygun şekilde adlandırılan bilgi hırsızlığı kötü amaçlı yazılımı aracılığıyla satın alındığı ve/veya toplandığı görülüyor.
Siber tehditlerin ilk izleri Nisan 2023’e kadar uzanıyor, 23 Mayıs’tan itibaren tespit edildi. Diğer kurbanlar hâlâ hedef alınabiliyor.
Snowflake, örnekleri için çok faktörlü tanımlama gerektirmeyi planlıyor
Mandiant şunu yazıyor: Snowflake müşteri hesaplarına yetkisiz erişimin Snowflake’in kurumsal ortamının ihlalinden kaynaklandığını gösteren hiçbir kanıt bulunamadı “. Bulut şirketinin güvenilirliğine ilişkin ve tekrarlamaya devam ettiği önemli bir açıklama.
Mağdurların önemli bir kısmının çok faktörlü kimlik doğrulama sistemlerini uygulamadığı görülüyor. Snowflake özel olarak herhangi bir siber güvenlik işlevi uygulamamaktadır. Değişebilecek bir durum.
Şirketin etkinlik sayfasında, geçen Cuma günü 7 Haziran tarihli bir güncelleme şöyle diyor: ” Ayrıca müşterilerimizin çok faktörlü kimlik doğrulama (MFA) gibi gelişmiş güvenlik kontrollerini uygulamasını zorunlu kılacak bir plan da geliştiriyoruz. “.
UNC5537’ye gelince, Mandiant çetenin ” yakın gelecekte diğer SaaS platformlarını hedef alarak bu izinsiz giriş modelini sürdürecek “.
