Стана ясен виновникът за атаките към клиентите на Snowflake
Все повече детайлности излизат към офанзивата над клиентите на Snowflake, която неотдавна WIRED написаха, че може е една от най-големите в историята.
През май един от най-големите клауд снабдители и компания за разбор на данни Snowflake сигнализира за офанзиви към клиентите им. Скоро откакто схващат, че нещо неправилно се случва те се свързват с компанията за киберсигурност Mandiant за помощ. И въпреки и да отхвърлят виновност в тази ситуация се оказва, че към 560 огромни корпоративни техни клиента са наранени. За две от жертвите към този момент ви разказахме – испанската банка Santander и компанията за продажба на билети за събития Ticketmaster. WIRED предава, че в първия случай са откраднати данни за банковите сметки на 30 милиона клиента на Santander Bank. Отделно от това са взети 28 000 000 номоера на банкови кредитни карти, шест милиона номера на сметки и салдото по тях. В случая с Ticketmaster е била открадната информацията на над половин милиард консуматори на услугата. След крах за продажбата им, те бяха пуснати в BreachForums. Именно и хакерска група, администрираща форума и подвизаваща се с псевдонима ShinyHunters, поемат отговорността за всичко.
В публикация, оповестена тази седмица в WIRED, ShinyHunters разкриват и повече детайлности към офанзивите. Те настояват, че всичко стартира след заразяването на компютър на чиновник на EPAM Systems. Компанията е огромна софтуерна компания, предоставяща разнообразни цифрови услуги и софтуерен инженеринг. Основана от беларусина Аркадий Добкин, компанията има огромни офиси в Беларус, Украйна и Русия. Скоро след старта на съветската експанзия в Украйна, EPAM приключва активността си в Русия. EPAM се явява значим сътрудник на Snowflake. Те ръководят сметки на клиентите на компанията, дружно с други действия, като образование за работа с клауд платформата.
ShinyHunters заразяват системата на въпросния чиновник със програмен продукт за кражба на информация, след което извличат данни от нея. Хакерите съумяват да извлекат незащитени данни за Snowflake сметки, които служителят управлявал. Според EPAM, изказванията на хакерите са неистина, която служи да заблуди засегнатите страни. Използвайки съхранени в беззащитен тип имена и пароли на компютрите или с данни от остарели пробиви, ShinyHunters съумели да влязат в сметките на десетки клиенти на Snowflake. Акаунтите, употребяващи двойна отбрана били незасегнати. WIRED оповестява, че Snowflake не слагат като наложително изискване пред клиентите си 2FA отбрана за сметките им.
От EPAM отхвърлят изказванията на ShinyHunters, че те са неволни помощници в последвалите офанзиви към клиентите на Snowflake.
За да потвърдят казаното от тях, ShinyHunters дават на WIRED лист с данните за вход на чиновници на EPAM, откраднати от Active Directory базата данни на компютъра на жертвата им. Отделно от това, експерт по киберсигурност, договарящ от името на жертвите с хакерите за размерите на откупите (които ShinyHunters желаят за непубликуване на данните), показва за информация онлайн вместилище. То съдържало данните, извлечени посредством „ инфостийлър “ (софтуер, употребен за кражба на данни). Тук се включвала цялостната история на браузване на жертвата. В нея участва и EPAM URL адрес, сочещ към Snowflake акаунта на Ticketmaster. Освен него участвали и съхранени в беззащитен тип името и паролата, с която служителя влизал във въпросния акаунт. И без значение, че WIRED споделят на представител на компанията информацията, EPAM не престават да отхвърлят.
„ Хакерите постоянно популяризират лъжлива информация, с цел да прокарват тезите си “, декларира за изданието въпросният представител. „ Придържаме се към политика да не се ангажираме с дезинформация и поддържаме мощни ограничения за сигурност за отбрана на клиентите и интервенциите ни “. Впоследствие WIRED дали на представителя цялостното име на основаният в Украйна чиновник, което било извлечено от системата му. Изпратили и името и паролата, с които той се вписвал в Snowflake акаунта на Ticketmaster. Говорителят прекъснал връзката сред двете страни.
Вземайки поради другите техники, употребявани от хакерите в офанзивите им към корпорации и компании и зависимостта на същите от външни контрактори, офанзивата към клиентите на Snowflake може да се окаже в действителност една от най-големите в историята. По данни на Statistta, към началото на тази година Snowflake обслужва 9400 корпоративни клиента.
