云存储巨头被黑,165家知名企业遭殃
谷歌旗下威胁情报公司Mandiant本周一发布报告称,多达165家知名组织成为云存储公司Snowflake黑客攻击事件的受害者,而且发生数据泄露的Snowflake客户的数量还在不断增长。
云计算历史上最严重的数据泄漏事件之一
Mandiant表示,一群黑客利用信息窃取恶意软件获取的凭据,对未启用多因素认证(MFA)的Snowflake账户和未对不受信任位置访问设置限制的Snowflake客户实例实施大规模攻击。黑客使用的某些凭据已有数年历史。
Snowflake在周一的声明中表示,正在“制定一项安全加固计划,要求客户实施多因素认证”。
攻击时间线
根据Mandiant的报告,攻击者是其长期跟踪的专注于敲诈勒索的经济动机黑客组织UNC5537,成员主要来自北美,但包括至少一名土耳其黑客。Mandiant称,针对Snowflake客户实例的黑客活动覆盖了全球数百家知名组织,其攻击路径如下:
根据Mandiant的报告,最早的证据显示,UNC5537对Snowflake实例的攻击可以追溯到4月14日。五天后,Mandiant开始调查从一个未知数据库中窃取的数据。到5月14日,Mandiant确认了多个受影响的Snowflake客户实例,并且公司和Snowflake于5月22日通知了执法部门。
甚至网络安全公司Cylance也称了Snowflake攻击的受害者,一个名为Sp1d3r的黑客正以75万美元的价格出售这些Cylance的被盗数据,据称包括3400万封客户和员工电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息。(Cylance本周一发布声明称这些数据是由第三方平台泄露的“旧数据”)
过去两年中,数据泄露论坛BreachForums曾两次被FBI和其他国际执法机构突击查封(最近一次是5月15日),但每次被查封后仅数日,该论坛便由高级职员或其他核心用户重新恢复上线。
信息窃取恶意软件泛滥
Mandiant的报告强调,信息窃取恶意软件的威胁正日益严峻,这种恶意软件能够从浏览器或受感染的网站收集凭据和其他数据。
更糟糕的是,“信息窃取恶意软件窃取的历史凭证仍然有效,在某些情况下,被盗多年后仍有效,并且没有被轮换或更新。发动Snowflake攻击的黑客早在2020年就利用信息窃取恶意软件感染中窃取的客户凭证访问过Snowflake客户帐户。”
文章来源:GoUpSec,参考链接:https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion
