黑客从 Ticketmaster 和云存储公司 Snowflake 的其他客户那里窃取了数 TB 的数据,他们声称,他们首先入侵了与这些客户合作的一家白俄罗斯承包商,从而获得了部分 Snowflake 账户的访问权。
在最近针对 Snowflake 客户的黑客攻击活动中,大约有 165 个客户账户可能受到影响,但目前只确定了其中的几个。除了 Ticketmaster,银行公司Santander也承认他们的数据被盗,但拒绝透露被盗账户的身份。
然而,我们已独立证实这是一个 Snowflake 账户;根据黑客发布的帖子,被盗数据包括 3000 万客户的银行账户详细信息,包括 600 万个账号和余额、2800 万个信用卡号以及有关员工的人力资源信息。Lending Tree 和 Advance Auto Parts 也表示他们也可能是受害者。
Snowflake 尚未透露黑客如何访问账户的详细信息,仅表示入侵者没有直接入侵 Snowflake 的网络。本周,谷歌旗下的安全公司 Mandiant(Snowflake 聘请的调查入侵事件的公司之一)在一篇博客文章中透露,在某些情况下,黑客首先通过第三方承包商获得访问权限,但没有透露承包商的身份,也没有说明这种访问权限如何帮助黑客入侵 Snowflake 账户。
但据一位通过文本聊天交谈的黑客称,其中一家公司是 EPAM Systems,这是一家上市的软件工程和数字服务公司,由白俄罗斯出生的 Arkadiy Dobkin 创立,目前收入约为 48 亿美元。这名黑客表示,他的团队自称 ShinyHunters,利用在 EPAM 员工系统上找到的数据访问了部分 Snowflake 账户。
EPAM 向《连线》杂志表示,它不认为自己参与了这些入侵事件,并暗示黑客编造了这个故事。ShinyHunters 自 2020 年起就已存在,自那时起就对多起入侵事件负责,这些入侵事件涉及窃取大量数据并在网上泄露或出售。
Snowflake 是一家大型数据存储和分析公司,为企业提供从客户数据中获取情报和洞察的工具。EPAM 网站显示,该公司开发软件并为全球客户(主要在北美、欧洲、亚洲和澳大利亚)提供各种托管服务,约60% 的收入来自北美客户。
EPAM 为客户提供的服务包括协助使用和管理他们的 Snowflake 账户来存储和分析他们的数据。EPAM 声称其拥有约300 名员工,他们熟悉使用 Snowflake 的数据分析工具和服务,并于 2022 年宣布已获得Snowflake 的“精英合作伙伴”地位,可利用后者的分析平台为其客户提供服务。
EPAM 的创始人于 90 年代从白俄罗斯移民到美国,然后于 1993 年在他位于新泽西的公寓里创立了自己的公司。EPAM的 55,000 名员工中有近三分之二居住在乌克兰、白俄罗斯和俄罗斯,直到俄罗斯入侵乌克兰,该公司表示,当时它关闭了俄罗斯业务,并将部分乌克兰员工转移到了该国以外的地区。
接受采访的黑客表示,EPAM 乌克兰一名员工的电脑通过鱼叉式网络钓鱼攻击感染了信息窃取恶意软件。目前尚不清楚是 ShinyHunters 的某个人进行了这次初始入侵,还是从其他人那里购买了受感染系统的访问权限,然后入侵了该员工并安装了信息窃取程序。
黑客表示,一旦进入 EPAM 员工的系统,他们就会安装远程访问木马,从而完全访问员工电脑上的所有内容。
利用这种访问权限,他们找到了未加密的用户名和密码,工作人员使用这些用户名和密码访问和管理 EPAM 客户的 Snowflake 帐户,包括 Ticketmaster 帐户。
这些凭证存储在工作人员的机器上一个名为 Jira 的项目管理工具中。黑客之所以能够使用这些凭证访问 Snowflake 帐户,是因为 Snowflake 帐户不需要多因素身份验证 (MFA) 即可访问。(MFA 要求用户除了输入用户名和密码外,还输入一次性临时代码,这使得使用 MFA 的帐户更安全。)
尽管 EPAM 否认参与了此次入侵事件,但黑客确实窃取了包括 Ticketmaster 在内的 Snowflake 账户的数据,并向数据所有者勒索数十万美元,有时甚至超过一百万美元,以销毁数据,否则黑客就会将数据出售给其他地方。
黑客并未透露所有通过 EPAM 遭到入侵的受害者,但确实表示 Ticketmaster 是其中之一。但 Ticketmaster 的母公司 Live Nation 已承认其 Snowflake 账户的数据在 5 月份被盗,但没有透露被盗数据量或黑客如何访问 Snowflake 账户。然而,在一篇出售数据的帖子中,黑客表示他们窃取了5.6 亿 Ticketmaster 消费者的数据。
黑客声称,在某些情况下,他们能够使用在 EPAM 工作人员的计算机上找到的纯文本用户名和密码直接访问 EPAM 客户的 Snowflake 帐户。但在 Snowflake 凭证未存储在工作人员系统中的情况下,黑客声称他们仔细检查了黑客使用信息窃取恶意软件在之前的入侵中窃取的旧凭证库存,并找到了 Snowflake 帐户的其他用户名和密码,包括从乌克兰同一名 EPAM 工作人员的机器中获取的用户名和密码。
信息窃取者获取的凭证通常会发布在网上或在黑客论坛上出售。如果受害者在入侵后不更改登录凭证,或者不知道他们的数据已被盗,这些凭证可能会保持活跃并可用多年。如果这些凭证在多个帐户中使用,问题就更严重了;黑客可以通过他们用作登录凭证的电子邮件地址识别用户,如果该人重复使用相同的密码,黑客只需在多个地方尝试这些凭证即可。
本案中的黑客表示,他们能够使用信息窃取者在 2020 年窃取的凭证访问 Snowflake 帐户。
无法独立确认黑客是否进入了 EPAM 工作人员的机器或使用 EPAM 访问 Ticketmaster 的数据和其他 Snowflake 帐户,但黑客提供了一个文件,该文件似乎是黑客在获得工作人员计算机的访问权限后从公司的 Active Directory 数据库中提取的 EPAM 工作人员凭证列表。
此外,在黑客透露其组织使用信息窃取者收集的数据后,Mandiant 在其博客文章中透露,入侵 Snowflake 账户的黑客使用信息窃取者窃取的旧数据访问了部分账户。Mandiant 表示,在 Snowflake 活动中发现的受害者中,约有 80% 是使用之前被信息窃取者窃取和泄露的凭证进行攻击的。
一位独立安全研究员一直在帮助 ShinyHunter 黑客和 Snowflake 活动受害者之间协商赎金交易,他指出了一个信息窃取者收集的在线数据存储库,其中包括从乌克兰 EPAM 工作人员的计算机窃取的数据,黑客称这些数据被用来访问 Snowflake 账户。
这些被盗数据包括工作人员的浏览器历史记录,其中揭示了工作人员的全名。它还包括指向 Ticketmaster Snowflake 帐户的内部 EPAM URL,以及 EPAM 工作人员用于访问 Ticketmaster Snowflake 帐户的用户名和密码的纯文本版本。
这意味着有权访问 Snowflake [账户] 的 [EPAM 员工] 的计算机上有窃取密码的恶意软件,他们的密码被盗并在暗网上出售,他要求只透露自己的名字是 Reddington,这是他们在网上与网络犯罪分子沟通时使用的身份。
这意味着任何知道 [Ticketmaster] Snowflake 正确 URL 的人都可以简单地查找密码、登录并窃取数据。
本周早些时候,联系到 EPAM 的一位发言人时,她似乎并不知道该公司涉嫌参与了 Snowflake 账户入侵事件。她在一封电子邮件中写道:“我们不对我们没有参与的情况发表评论”,暗示该公司不认为自己参与了此次活动。
当向这位发言人详细说明黑客如何获得乌克兰 EPAM 员工系统的访问权限时,她回答说:“黑客经常传播虚假信息以推进他们的议程。我们坚持不接受虚假信息的政策,并始终坚持采取强有力的安全措施来保护我们的运营和客户。我们正在继续进行详尽的调查,目前没有证据表明我们受到了此事的影响或参与其中。”
随后提供了据称遭到黑客入侵的乌克兰工作人员的姓名,以及该工作人员用于访问 Ticketmaster 的 Snowflake 账户的用户名和密码,但发言人没有回答任何其他问题。
ShinyHunter 黑客可能并未直接攻击 EPAM 工作人员,而只是使用从信息窃取者窃取的旧凭证存储库中获得的用户名和密码访问了 Snowflake 帐户。这意味着任何人都可以通过这些存储库筛选这些以及从 EPAM 帐户窃取的其他凭证。
他们在网上发现了九个不同的信息窃取者用来从 EPAM 工作人员的机器中收集数据的数据。这引发了人们对其他 EPAM 客户数据安全性的潜在担忧。
EPAM 的客户遍布各个关键行业,包括银行和其他金融服务、医疗保健、广播网络、制药、能源和其他公用事业、保险以及软件和高科技——后者的客户包括微软、谷歌、Adobe 和亚马逊网络服务。
不过,目前尚不清楚这些公司中是否有 EPAM 员工可以访问的 Snowflake 账户。也无法确认 Ticketmaster、Santander、Lending Tree 或 Advance AutoParts 是否是 EPAM 的客户。
Snowflake 活动还凸显了来自第三方公司和信息窃取者日益增加的安全风险。Mandiant 在本周的博客文章中表示,有多名承包商遭到入侵,以获取 Snowflake 账户的访问权限,并指出承包商(通常称为业务流程外包 (BPO) 公司)是黑客的潜在金矿,因为入侵有权访问多个客户账户的承包商的机器可以让他们直接访问许多客户账户。
Mandiant 在其博客文章中写道:“客户聘请的协助使用 Snowflake 的承包商可能会使用个人和/或不受监控的笔记本电脑,这加剧了这种初始进入媒介。”“这些设备通常用于访问多个组织的系统,存在重大风险。如果受到信息窃取恶意软件的攻击,单个承包商的笔记本电脑可以帮助威胁行为者访问多个组织,通常具有 IT 和管理员级别的权限。”
该公司还强调了信息窃取者日益增加的风险,并指出黑客在 Snowflake 活动中使用的大多数凭证都来自之前被各种信息窃取者活动窃取的数据存储库,其中一些凭证可以追溯到 2020 年。该公司指出:“Mandiant 发现自 2020 年以来,数百个客户 Snowflake 凭证通过信息窃取者泄露。”
Mandiant 指出,这一点加上目标 Snowflake 账户未使用 MFA 进行进一步保护,导致此次活动中的违规行为成为可能。
Snowflake 的首席信息安全官布拉德·琼斯 (Brad Jones)上周承认,缺乏多因素身份验证导致了这些漏洞。在本周的电话采访中,Snowflake 正在努力让客户能够强制其账户用户今后使用多因素身份验证,然后我们将在未来考虑将 MFA 设为默认。
原文始发于微信公众号(网络研究观):黑客如何从 Snowflake 窃取 Ticketmaster 数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论