Ongeveer 165 klanten van Snowflake zouden al het slachtoffer zijn geworden van hackers. Die baanden zich een weg naar binnen door de slechte beveiliging van de Snowflake-accounts door de klanten zelf.
Beveiligingsbedrijf Mandiant heeft samen met datacloudspecialist Snowflake al 165 organisaties gecontacteerd die het slachtoffer zijn geworden van hackers. Criminelen stalen gegevens van de klanten uit hun Snowflake-accounts, en proberen nu geld te verdienen via afpersing van de doelwitten, of doorverkoop van die gegevens.
De klanten werden geviseerd door aanvallers van een groepering gevolgd onder noemer UNC5537. Die heeft het momenteel op Snowflake-klanten gemunt, maar maakt daarvoor geen gebruik van bugs of kwetsbaarheden bij Snowflake zelf. Snowflake-accounts zijn een dankbaar doelwit, omdat het net het opzet is van Snowflake om als centrale plek te dienen voor alle bedrijfsdata van gebruikers.
Gestolen inloggegevens
Mandiant geeft aan dat het origine van de inbraak bij alle ontdekte gevallen bij de klant zelf ligt. Concreet baanden de hackers van UNC5537 zich een weg naar binnen via gestolen inloggegevens voor accounts zonder MFA-beveiliging. Die inloggegevens konden ze bemachtigen via een allegaartje aan infostealer-malware, maar vaak ook omdat ze gewoon beschikbaar waren op het dark web nadat ze eerder gestolen waren door andere bendes.
Mandiant merkt op dat de oudst gestolen combinatie van gebruikersnaam en wachtwoord van november 2020 dateert. De gegevens die UNC5537 misbruikt zijn over het algemeen niet nieuw, en circuleren al even in criminele milieus. De slachtoffers hebben sinds de originele diefstal van de wachtwoorden de inloggegevens voor hun Snowflake-accounts niet veranderd, al is de kans heel groot dat ze zich in al die tijd van geen kwaad bewust waren.
Langs de voordeur naar binnen
Heel gesofisticeerd is de aanval van UNC5537 dus niet. De criminelen loggen gewoon in via een account met beschikbare inloggegevens en voldoende rechten, en gaan dan aan de slag met verschillende tools. Ze onderzoeken tot welke data ze toegang hebben, en stelen die dan.
Mandiant stelt nog vast dat de getroffen accounts niet alleen geen MFA hebben, maar ook geen gebruik maken van Network Allow-lijsten. Daarmee kan toegang tot een account beperkt worden tot gekende locaties (zoals het bedrijfsnetwerk).
In essentie hebben de getroffen Snowflake-klanten in de laatste vier jaar ergens hun sleutels verloren, hebben ze het slot niet vervangen of geen extra slotje geplaatst, en hebben dieven de sleutel nu gebruikt om langs de voordeur naar binnen te wandelen.
Geen platformbug
De klantendienst van Snowflake werkt samen met de getroffen klanten om de impact van de aanval te beperken. Snowflake zelf hamert erop dat er niets scheelt met de veiligheid van het Snowflake-platform of de eigen systemen. Dat ook zeker één demo-account zonder MFA van Snowflake zelf gekraakt zou zijn, verandert daar niets aan volgens het bedrijf. Dat demo-account is immers niets meer dan wat de naam suggereert, en had geen toegang tot productiesystemen.
Mandiant merkt nog op dat UNC5537 in sommige gevallen toegang kon krijgen tot gegevens van partners van klanten die meerdere systemen beheerden, want de impact natuurlijk nog vergroot. De ongeveer 165 klanten die nu als slachtoffer geïdentificeerd zijn, omvatten vermoedelijk niet het totaal van alle slachtoffers geviseerd door UNC5537.
Lucratief aanvalsmodel
Mandiant concludeert verder nog dat UNC5537 zijn strategie vermoedelijk zal verderzetten, en niet noodzakelijk gefocust zal blijven op Snowflake. SaaS-diensten aanvallen via gestolen inloggegevens, is immers niet zo moeilijk zolang gebruikers MFA niet inschakelen. De UNC5537-groepering zelf zou volgens Mandiant nog bestaan uit leden in Noord-Amerika, en minstens één hacker in Turkije.
Snowflake vereist (op dit moment) niet dat klanten MFA inschakelen. Het bedrijf raadt gebruikers wel aan om dat te doen. In navolging van de aanval onderzoekt het bedrijf ook of het klanten in de toekomst kan verplichten om geavanceerde beveiligingsmechanismen te implementeren. Verschillende SaaS-aanbieders en cloudspecialisten doen dat al.