Почему компания упорно не хочет признавать компрометацию своих сетей, когда всё уже и так максимально очевидно?
На прошлой неделе, благодаря отчёту компании Hudson Rock, стало известно, что на облачную компанию Snowflake была совершена кибератака, в ходе которой были похищены конфиденциальные данные клиентов Snowflake — компаний Ticketmaster и Santander.
Сама Snowflake отреагировала на информацию о потенциальном взломе своих систем крайне негативно. После непродолжительного расследования компания заявила, что её никто не взламывал, а в сторону Hudson Rock было направлено требование удалить ИБ-отчёт, так как информация в нём якобы «не соответствует действительности».
Однако, как оказалось позже, — ещё как соответствует. После привлечения к расследованию компаний Mandiant и CrowdStrike, оказалось, что злоумышленники действительно пытались получить доступ к учётным записям клиентов Snowflake, используя украденные логины и пароли. Как можно догадаться, им успешно удалось это сделать.
За прошедшие дни в киберпространстве появилось сразу несколько заявлений киберпреступников о продаже украденных данных ещё двух крупных компаний, якобы тоже полученных из систем Snowflake. Одновременно издание TechCrunch сообщило о сотнях паролей клиентов Snowflake, оказавшихся в открытом доступе.
Масштабы атаки на клиентов Snowflake, личности нападавших и работа вредоносного инструмента «rapeflake» пока неясны. Большая часть инцидента с Snowflake разворачивалась на хакерском форуме BreachForums. ФБР закрыло форум в мае, но он быстро возобновил работу, и члены группы ShinyHunters заявили о продаже 560 млн записей Tickеtmaster и 30 млн Santander. Вероятно, именно ShinyHunters стоит за взломом Snowflake.
Как Tickеtmaster, так и Santander — быстро подтвердили утечки данных, причём обе указали, что не были взломаны напрямую, а пострадали базы данных у стороннего провайдера, которым, судя по всему, в данной ситуации и является Snowflake.
В последние дни на BreachForums появились сообщения о предполагаемых утечках данных из Advance Auto Parts (380 млн клиентских записей) и LendingTree с дочерней QuoteWizard (190 млн записей). Некоторые опубликованные email-адреса сотрудников и клиентов Advance Auto Parts оказались действительными.
Представитель Advance Auto Parts Дэррил Карр заявил, что компания расследует возможную утечку, связанную со Snowflake. LendingTree пока не прокомментировала ситуацию.
Snowflake в своём блоге признала, что учётные записи попали в руки злоумышленников из-за использования логинов и паролей, похищенных инфостилерами. Компания не нашла доказательств компрометации своих сотрудников и выявила доступ только к демо-аккаунту бывшего работника. Однако, судя по масштабу утечек, необходимый уровень доступа у хакеров всё же есть.
Инцидент показывает тесную интеграцию компаний, использующих сторонние сервисы. По словам эксперта Тори Ханта, это признание того, насколько сложно в современных цифровых реалиях контролировать безопасность сторонних поставщиков.
В ответ на атаки Snowflake рекомендовала клиентам включить многофакторную аутентификацию и разрешить доступ только из авторизованных источников. Компаниям, пострадавшим от утечек, следует сбросить свои пароли Snowflake.
Что касательно инфостилеров, которые Snowflake винит в атаке, в последние годы, особенно в пандемию, их использование для кражи логинов, паролей, файлов с устройств — значительно выросло. Кроме того, по словам Иэна Грея из Flashpoint, из-за высокого спроса появилось множество недорогих инфостилеров, доступных буквально каждому злоумышленнику.
«Эти программы разными способами крадут конфиденциальную информацию: cookie, учётные данные, кредитки, криптокошельки. А затем, с помощью полученных данных, хакеры пытаются проникнуть в корпоративные учётные записи», — объясняет Грей.
Одно найти легче, чем другое. Спойлер: это не темная материя