谷歌旗下威脅情報公司Mandiant本周一發布報告稱，多達165家知名組織成為云存儲公司Snowflake黑客攻擊事件的受害者，而且發生數據泄露的Snowflake客戶的數量還在不斷增長。

云計算歷史上最嚴重的數據泄漏事件之一

截至本周一，Snowflake黑客攻擊事件已經波及了包括票務巨頭Ticketmaster、桑坦德集團（Santander Group）、汽車零配件巨頭Advance Auto Parts等在內的一大批知名企業，數以億計的個人受到影響。

Mandiant周一的調查結果顯示，針對Snowflake客戶的黑客攻擊的“爆炸半徑”還在不斷擴大中，Mandiant正與Snowflake合作調查與其客戶數據泄露有關的一系列漏洞。

Mandiant表示，一群黑客利用信息竊取惡意軟件獲取的憑據，對未啟用多因素認證（MFA）的Snowflake賬戶和未對不受信任位置訪問設置限制的Snowflake客戶實例實施大規模攻擊。黑客使用的某些憑據已有數年歷史。

Snowflake在周一的聲明中表示，正在“制定一項安全加固計劃，要求客戶實施多因素認證”。

攻擊時間線

根據Mandiant的報告，攻擊者是其長期跟蹤的專注于敲詐勒索的經濟動機黑客組織UNC5537，成員主要來自北美，但包括至少一名土耳其黑客。Mandiant稱，針對Snowflake客戶實例的黑客活動覆蓋了全球數百家知名組織，其攻擊路徑如下：

根據Mandiant的報告，最早的證據顯示，UNC5537對Snowflake實例的攻擊可以追溯到4月14日。五天后，Mandiant開始調查從一個未知數據庫中竊取的數據。到5月14日，Mandiant確認了多個受影響的Snowflake客戶實例，并且公司和Snowflake于5月22日通知了執法部門。

5月24日，一名名為“whitewarlock”的用戶在一個俄語網絡犯罪論壇上發布了據稱是來自桑坦德集團的3000萬客戶數據。Mandiant報告稱，5月14日，“某些涉及智利、西班牙和烏拉圭桑坦德客戶的信息，以及該集團所有在職和離職員工的信息被訪問。”

票務巨頭Ticketmaster的母公司Live NationEntertainment在向美國證券交易委員會（SEC）提交的文件中表示，5月20日，注意到第三方云數據庫環境中的“未經授權的活動”。

與此同時，數據泄露論壇（BreachForums）出現大量Snowflake客戶的泄露數據銷售帖子，包括Ticketmaster的5.6億用戶數據（于6月9日下線，原因尚不清楚。）

甚至網絡安全公司Cylance也稱了Snowflake攻擊的受害者，一個名為Sp1d3r的黑客正以75萬美元的價格出售這些Cylance的被盜數據，據稱包括3400萬封客戶和員工電子郵件以及Cylance客戶、合作伙伴和員工的個人身份信息。（Cylance本周一發布聲明稱這些數據是由第三方平臺泄露的“舊數據”）

過去兩年中，數據泄露論壇BreachForums曾兩次被FBI和其他國際執法機構突擊查封（最近一次是5月15日），但每次被查封后僅數日，該論壇便由高級職員或其他核心用戶重新恢復上線。

信息竊取惡意軟件泛濫

Mandiant的報告強調，信息竊取惡意軟件的威脅正日益嚴峻，這種惡意軟件能夠從瀏覽器或受感染的網站收集憑據和其他數據。

信息竊取軟件如今已經在互聯網上泛濫，主要變種包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等，導致數以千萬計的用戶賬戶信息泄露。

信息竊取惡意軟件會收集大量賬戶憑據后將其打包成“日志”出售，廣泛用于各種網絡犯罪活動。

Mandiant指出，信息竊取惡意軟件有時會藏身在企業或個人設備上的木馬化軟件中。“在幾起與Snowflake相關的調查中，Mandiant觀察到，信息竊取惡意軟件的初始感染發生在也用于個人活動（包括游戲和下載盜版軟件）的承包商系統上。”

更糟糕的是，“信息竊取惡意軟件竊取的歷史憑證仍然有效，在某些情況下，被盜多年后仍有效，并且沒有被輪換或更新。發動Snowflake攻擊的黑客早在2020年就利用信息竊取惡意軟件感染中竊取的客戶憑證訪問過Snowflake客戶帳戶。”