Compromessi account dei clienti Snowflake, il data breach impatta grandi aziende

La compagnia di cloud computing Snowflake è stata coinvolta marginalmente in un data breach che ha avuto conseguenze di vasta portata.

Snowflake ha progettato una piattaforma di data warehousing multi-cloud che viene utilizzata da grandi aziende globali per le attività di data analysis e vanta collaborazioni con realtà come Michelin, AXA, Pfizer e Siemens.

L’incidente è stato notificato ad inizio giugno 2024 dalla Cybersecurity and Infrastructure Security Agency americana e dal Cyber Security Center australiano. Quest’ultimo ha affermato di essere “a conoscenza di compromissioni riuscite di diverse aziende che utilizzano gli ambienti Snowflake”.

Nelle settimane seguenti sono comparsi su forum underground annunci di vendita riguardanti milioni di dati correlabili a clienti di Snowflake, come Banco Santander, Ticketmaster, il gigante automobilistico Advance Auto Parts, la società di servizi finanziari LendingTree e la sua controllata QuoteWizard.

La vendita delle informazioni sarebbe avvenuta anche su BreachForums, il market gestito dal gruppo criminale ShinyHunters che, nonostante il sequestro disposto dall’FBI, è riuscito a tornare rapidamente in attività. Alcuni dei post sono stati pubblicati dal broker Sp1d3r, il quale ha richiesto cifre per alcuni data set che raggiungono i 2 milioni di dollari.

Snowflake ha ammesso che si sarebbe verificato un accesso potenzialmente non autorizzato a un “numero limitato” di account clienti, ma ha negato che sia avvenuta una compromissione diretta dei propri sistemi. La versione dell’azienda è stata confermata dalle analisi di una società di cybersecurity, la quale ha ricostruito una ipotetica dinamica dell’intera campagna malevola.

A partire dal 14 aprile 2024, gli attaccanti avrebbero cominciato a sfruttare credenziali di istanze dei clienti Snowflake precedentemente rubate. Il furto sarebbe avvenuto nell’ambito di offensive basate su infostealer come Lumma, Raccoon, RedLine e Vidar, alcune delle quali risalenti al 2020.

Gli attacchi erano stati indirizzati perlopiù contro dispositivi di contractor dei clienti di Snowflake, che venivano utilizzati anche per attività personali, come il gaming online e il download di software pirata. Si tratterebbe, in sostanza, di computer appartenenti a professionisti terzi che lavorano per più realtà e destinati ad un uso promiscuo. Nella fase di post-exploitation sarebbero state impiegate utility sia custom che legittime per effettuare query SQL e reperire, fra l’altro, IP, sessioni ID, informazioni sugli utenti.

Gli analisti hanno rilevato che lo sfruttamento delle credenziali rubate è stato facilitato da tre condizioni: gli ambienti Snowflake non avevano impostato l’autenticazione a più fattori; le credenziali stesse non erano state modificate o aggiornate per mesi, se non per anni; le istanze violate non disponevano di filtri di accesso al network.

A metà luglio è emerso il presunto coinvolgimento anche dell’americana AT&T. La Telco ha comunicato ufficialmente che dati dei clienti erano stati scaricati illegalmente da uno spazio di lavoro presente su una piattaforma cloud di terzi. Sono risultate esposte le informazioni di quasi tutti i clienti cellulari (circa 109 milioni) risalenti al periodo compreso fra il 1° maggio e il 31 ottobre 2022 e al 2 gennaio 2023. Snowflake avrebbe segnalato il caso ad almeno 165 organizzazioni. Si stima un possibile impatto complessivo su decine di milioni di utenti singoli.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.