谷歌旗下威脅情報公司Mandiant本周一發(fā)布報告稱，多達(dá)165家知名組織成為云存儲公司Snowflake黑客攻擊事件的受害者，而且發(fā)生數(shù)據(jù)泄露的Snowflake客戶的數(shù)量還在不斷增長。

云計算歷史上最嚴(yán)重的數(shù)據(jù)泄漏事件之一

截至本周一，Snowflake黑客攻擊事件已經(jīng)波及了包括票務(wù)巨頭Ticketmaster、桑坦德集團(tuán)（Santander Group）、汽車零配件巨頭Advance Auto Parts等在內(nèi)的一大批知名企業(yè)，數(shù)以億計的個人受到影響。

Mandiant周一的調(diào)查結(jié)果顯示，針對Snowflake客戶的黑客攻擊的“爆炸半徑”還在不斷擴(kuò)大中，Mandiant正與Snowflake合作調(diào)查與其客戶數(shù)據(jù)泄露有關(guān)的一系列漏洞。

Mandiant表示，一群黑客利用信息竊取惡意軟件獲取的憑據(jù)，對未啟用多因素認(rèn)證（MFA）的Snowflake賬戶和未對不受信任位置訪問設(shè)置限制的Snowflake客戶實例實施大規(guī)模攻擊。黑客使用的某些憑據(jù)已有數(shù)年歷史。

Snowflake在周一的聲明中表示，正在“制定一項安全加固計劃，要求客戶實施多因素認(rèn)證”。

攻擊時間線

根據(jù)Mandiant的報告，攻擊者是其長期跟蹤的專注于敲詐勒索的經(jīng)濟(jì)動機(jī)黑客組織UNC5537，成員主要來自北美，但包括至少一名土耳其黑客。Mandiant稱，針對Snowflake客戶實例的黑客活動覆蓋了全球數(shù)百家知名組織，其攻擊路徑如下：

根據(jù)Mandiant的報告，最早的證據(jù)顯示，UNC5537對Snowflake實例的攻擊可以追溯到4月14日。五天后，Mandiant開始調(diào)查從一個未知數(shù)據(jù)庫中竊取的數(shù)據(jù)。到5月14日，Mandiant確認(rèn)了多個受影響的Snowflake客戶實例，并且公司和Snowflake于5月22日通知了執(zhí)法部門。

5月24日，一名名為“whitewarlock”的用戶在一個俄語網(wǎng)絡(luò)犯罪論壇上發(fā)布了據(jù)稱是來自桑坦德集團(tuán)的3000萬客戶數(shù)據(jù)。Mandiant報告稱，5月14日，“某些涉及智利、西班牙和烏拉圭桑坦德客戶的信息，以及該集團(tuán)所有在職和離職員工的信息被訪問。”

票務(wù)巨頭Ticketmaster的母公司Live NationEntertainment在向美國證券交易委員會（SEC）提交的文件中表示，5月20日，注意到第三方云數(shù)據(jù)庫環(huán)境中的“未經(jīng)授權(quán)的活動”。

與此同時，數(shù)據(jù)泄露論壇（BreachForums）出現(xiàn)大量Snowflake客戶的泄露數(shù)據(jù)銷售帖子，包括Ticketmaster的5.6億用戶數(shù)據(jù)（于6月9日下線，原因尚不清楚。）

甚至網(wǎng)絡(luò)安全公司Cylance也稱了Snowflake攻擊的受害者，一個名為Sp1d3r的黑客正以75萬美元的價格出售這些Cylance的被盜數(shù)據(jù)，據(jù)稱包括3400萬封客戶和員工電子郵件以及Cylance客戶、合作伙伴和員工的個人身份信息。（Cylance本周一發(fā)布聲明稱這些數(shù)據(jù)是由第三方平臺泄露的“舊數(shù)據(jù)”）

過去兩年中，數(shù)據(jù)泄露論壇BreachForums曾兩次被FBI和其他國際執(zhí)法機(jī)構(gòu)突擊查封（最近一次是5月15日），但每次被查封后僅數(shù)日，該論壇便由高級職員或其他核心用戶重新恢復(fù)上線。

信息竊取惡意軟件泛濫

Mandiant的報告強(qiáng)調(diào)，信息竊取惡意軟件的威脅正日益嚴(yán)峻，這種惡意軟件能夠從瀏覽器或受感染的網(wǎng)站收集憑據(jù)和其他數(shù)據(jù)。

信息竊取軟件如今已經(jīng)在互聯(lián)網(wǎng)上泛濫，主要變種包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等，導(dǎo)致數(shù)以千萬計的用戶賬戶信息泄露。

信息竊取惡意軟件會收集大量賬戶憑據(jù)后將其打包成“日志”出售，廣泛用于各種網(wǎng)絡(luò)犯罪活動。

Mandiant指出，信息竊取惡意軟件有時會藏身在企業(yè)或個人設(shè)備上的木馬化軟件中。“在幾起與Snowflake相關(guān)的調(diào)查中，Mandiant觀察到，信息竊取惡意軟件的初始感染發(fā)生在也用于個人活動（包括游戲和下載盜版軟件）的承包商系統(tǒng)上。”

更糟糕的是，“信息竊取惡意軟件竊取的歷史憑證仍然有效，在某些情況下，被盜多年后仍有效，并且沒有被輪換或更新。發(fā)動Snowflake攻擊的黑客早在2020年就利用信息竊取惡意軟件感染中竊取的客戶憑證訪問過Snowflake客戶帳戶。”