信息化觀(guān)察網(wǎng)

本文來(lái)自微信公眾號(hào)“安信安全”。

近日，云存儲(chǔ)巨頭Snowflake的大量客戶(hù)實(shí)例遭黑客攻擊，導(dǎo)致全球超過(guò)165家知名企業(yè)發(fā)生大規(guī)模數(shù)據(jù)泄露，甚至包括Cylance這樣的網(wǎng)絡(luò)安全巨頭也不能幸免。

谷歌旗下威脅情報(bào)公司Mandiant本周一發(fā)布報(bào)告稱(chēng)，多達(dá)165家知名組織成為云存儲(chǔ)公司Snowflake黑客攻擊事件的受害者，而且發(fā)生數(shù)據(jù)泄露的Snowflake客戶(hù)的數(shù)量還在不斷增長(zhǎng)。

云計(jì)算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一

截至本周一，Snowflake黑客攻擊事件已經(jīng)波及了包括票務(wù)巨頭Ticketmaster、桑坦德集團(tuán)（Santander Group）、汽車(chē)零配件巨頭Advance Auto Parts等在內(nèi)的一大批知名企業(yè)，數(shù)以?xún)|計(jì)的個(gè)人受到影響。

Mandiant周一的調(diào)查結(jié)果顯示，針對(duì)Snowflake客戶(hù)的黑客攻擊的“爆炸半徑”還在不斷擴(kuò)大中，Mandiant正與Snowflake合作調(diào)查與其客戶(hù)數(shù)據(jù)泄露有關(guān)的一系列漏洞。

Mandiant表示，一群黑客利用信息竊取惡意軟件獲取的憑據(jù)，對(duì)未啟用多因素認(rèn)證（MFA）的Snowflake賬戶(hù)和未對(duì)不受信任位置訪(fǎng)問(wèn)設(shè)置限制的Snowflake客戶(hù)實(shí)例實(shí)施大規(guī)模攻擊。黑客使用的某些憑據(jù)已有數(shù)年歷史。

Snowflake在周一的聲明中表示，正在“制定一項(xiàng)安全加固計(jì)劃，要求客戶(hù)實(shí)施多因素認(rèn)證”。

攻擊時(shí)間線(xiàn)

根據(jù)Mandiant的報(bào)告，攻擊者是其長(zhǎng)期跟蹤的專(zhuān)注于敲詐勒索的經(jīng)濟(jì)動(dòng)機(jī)黑客組織UNC5537，成員主要來(lái)自北美，但包括至少一名土耳其黑客。Mandiant稱(chēng)，針對(duì)Snowflake客戶(hù)實(shí)例的黑客活動(dòng)覆蓋了全球數(shù)百家知名組織，其攻擊路徑如下：

根據(jù)Mandiant的報(bào)告，最早的證據(jù)顯示，UNC5537對(duì)Snowflake實(shí)例的攻擊可以追溯到4月14日。五天后，Mandiant開(kāi)始調(diào)查從一個(gè)未知數(shù)據(jù)庫(kù)中竊取的數(shù)據(jù)。到5月14日，Mandiant確認(rèn)了多個(gè)受影響的Snowflake客戶(hù)實(shí)例，并且公司和Snowflake于5月22日通知了執(zhí)法部門(mén)。

來(lái)源：Mandiant

5月24日，一名名為“whitewarlock”的用戶(hù)在一個(gè)俄語(yǔ)網(wǎng)絡(luò)犯罪論壇上發(fā)布了據(jù)稱(chēng)是來(lái)自桑坦德集團(tuán)的3000萬(wàn)客戶(hù)數(shù)據(jù)。Mandiant報(bào)告稱(chēng)，5月14日，“某些涉及智利、西班牙和烏拉圭桑坦德客戶(hù)的信息，以及該集團(tuán)所有在職和離職員工的信息被訪(fǎng)問(wèn)。”

票務(wù)巨頭Ticketmaster的母公司Live NationEntertainment在向美國(guó)證券交易委員會(huì)（SEC）提交的文件中表示，5月20日，注意到第三方云數(shù)據(jù)庫(kù)環(huán)境中的“未經(jīng)授權(quán)的活動(dòng)”。

與此同時(shí)，數(shù)據(jù)泄露論壇（BreachForums）出現(xiàn)大量Snowflake客戶(hù)的泄露數(shù)據(jù)銷(xiāo)售帖子，包括Ticketmaster的5.6億用戶(hù)數(shù)據(jù)（于6月9日下線(xiàn)，原因尚不清楚。）

甚至網(wǎng)絡(luò)安全公司Cylance也稱(chēng)了Snowflake攻擊的受害者，一個(gè)名為Sp1d3r的黑客正以75萬(wàn)美元的價(jià)格出售這些Cylance的被盜數(shù)據(jù)，據(jù)稱(chēng)包括3400萬(wàn)封客戶(hù)和員工電子郵件以及Cylance客戶(hù)、合作伙伴和員工的個(gè)人身份信息。（Cylance本周一發(fā)布聲明稱(chēng)這些數(shù)據(jù)是由第三方平臺(tái)泄露的“舊數(shù)據(jù)”）

過(guò)去兩年中，數(shù)據(jù)泄露論壇BreachForums曾兩次被FBI和其他國(guó)際執(zhí)法機(jī)構(gòu)突擊查封（最近一次是5月15日），但每次被查封后僅數(shù)日，該論壇便由高級(jí)職員或其他核心用戶(hù)重新恢復(fù)上線(xiàn)。

信息竊取惡意軟件泛濫

Mandiant的報(bào)告強(qiáng)調(diào)，信息竊取惡意軟件的威脅正日益嚴(yán)峻，這種惡意軟件能夠從瀏覽器或受感染的網(wǎng)站收集憑據(jù)和其他數(shù)據(jù)。

信息竊取軟件如今已經(jīng)在互聯(lián)網(wǎng)上泛濫，主要變種包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等，導(dǎo)致數(shù)以千萬(wàn)計(jì)的用戶(hù)賬戶(hù)信息泄露。

信息竊取惡意軟件會(huì)收集大量賬戶(hù)憑據(jù)后將其打包成“日志”出售，廣泛用于各種網(wǎng)絡(luò)犯罪活動(dòng)。

Mandiant指出，信息竊取惡意軟件有時(shí)會(huì)藏身在企業(yè)或個(gè)人設(shè)備上的木馬化軟件中。“在幾起與Snowflake相關(guān)的調(diào)查中，Mandiant觀(guān)察到，信息竊取惡意軟件的初始感染發(fā)生在也用于個(gè)人活動(dòng)（包括游戲和下載盜版軟件）的承包商系統(tǒng)上。”

更糟糕的是，“信息竊取惡意軟件竊取的歷史憑證仍然有效，在某些情況下，被盜多年后仍有效，并且沒(méi)有被輪換或更新。發(fā)動(dòng)Snowflake攻擊的黑客早在2020年就利用信息竊取惡意軟件感染中竊取的客戶(hù)憑證訪(fǎng)問(wèn)過(guò)Snowflake客戶(hù)帳戶(hù)。”