منذ أن اعترفت Snowflake باستهداف الحسابات، فقد قدمت بعض المعلومات الإضافية حول الحادث. قال براد جونز، كبير مسؤولي أمن المعلومات في Snowflake، في منشور على إحدى المدونات إن الجهات الفاعلة في مجال التهديد استخدمت تفاصيل تسجيل الدخول إلى الحسابات التي “تم شراؤها أو الحصول عليها من خلال البرامج الضارة لسرقة المعلومات”، والتي تم تصميمها لسحب أسماء المستخدمين وكلمات المرور من الأجهزة التي تم اختراقها. وأضاف جونز أن الحادث يبدو وكأنه “حملة مستهدفة موجهة للمستخدمين من خلال المصادقة ذات العامل الواحد”.
وقال منشور جونز إن Snowflake، إلى جانب شركتي الأمن السيبراني CrowdStrike وMandiant، اللتين وظفتهما للتحقيق في الحادث، لم تجد أدلة تظهر أن الهجوم “نتج عن اختراق أوراق اعتماد موظفي Snowflake الحاليين أو السابقين”. ومع ذلك، فقد وجدت أنه تم الوصول إلى الحسابات التجريبية لأحد الموظفين السابقين، مدعيًا أنها لا تحتوي على بيانات حساسة.
عندما سئل أحد الأشخاص عن الانتهاكات المحتملة لبيانات شركات معينة، أشار إلى بيان جونز: “لم نحدد أدلة تشير إلى أن هذا النشاط كان بسبب ثغرة أمنية أو خطأ في التكوين أو خرق لمنصة Snowflake”. ولم تقدم الشركة تعليقًا مسجلاً يوضح المقصود بـ “الانتهاك”. (قالت شركة الأمن Hudson Rock إنها أزالت منشورًا بحثيًا يتضمن ادعاءات مختلفة لم يتم التحقق منها حول حادثة Snowflake بعد تلقي خطاب قانوني من Snowflake).
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تنبيهًا بشأن حادثة Snowflake، بينما قال مركز الأمن السيبراني الأسترالي إنه “على علم بالتسويات الناجحة للعديد من الشركات التي تستخدم بيئات Snowflake”.
أصول غير واضحة
لا يُعرف سوى القليل عن البيانات الإعلانية لحساب Sp1d3r على BreachForums، وليس من الواضح ما إذا كان ShinyHunters قد حصل على البيانات التي كان يبيعها من مصدر آخر أو مباشرة من حسابات الضحايا في Snowflake — تم نشر المعلومات حول اختراق Ticketmaster وSantander في الأصل في منتدى آخر للجرائم الإلكترونية بواسطة مستخدم جديد يسمى SpidermanData.
نشر حساب Sp1d3r على BreachForums أن 2 تيرابايت من بيانات LendingTree وQuoteWizard المزعومة كانت معروضة للبيع مقابل 2 مليون دولار؛ في حين أن 3 تيرابايت من البيانات المزعومة من شركة Advance Auto Parts ستكلف الشخص 1.5 مليون دولار. يقول كريس مورغان، أحد كبار محللي استخبارات التهديدات السيبرانية في شركة الأمن ReliaQuest: “يبدو أن السعر الذي يحدده ممثل التهديد مرتفع للغاية بالنسبة لقائمة نموذجية يتم نشرها على BreachForums”.
يقول مورغان إن شرعية Sp1d3r غير واضحة. ومع ذلك، فهو يشير إلى أن هناك إشارة إلى مجموعة القرصنة المراهقين Scattered Spider. “من المثير للاهتمام أن الصورة الشخصية لممثل التهديد مأخوذة من مقال يشير إلى مجموعة التهديد Scattered Spider، على الرغم من أنه من غير الواضح ما إذا كان هذا هو الارتباط المتعمد بمجموعة التهديد.”
في حين أن المصدر الدقيق لانتهاكات البيانات المزعومة غير واضح، إلا أن الحادث يسلط الضوء على مدى ترابط الشركات عند الاعتماد على المنتجات والخدمات من مقدمي الطرف الثالث. قال الباحث الأمني توري هانت لـ WIRED عندما ظهرت هذه الحوادث لأول مرة: “أعتقد أن الكثير من هذا هو مجرد اعتراف بمدى ترابط هذه الخدمات الآن ومدى صعوبة التحكم في الوضع الأمني للأطراف الثالثة”.
وكجزء من استجابتها للهجمات، طلبت Snowflake من جميع العملاء التأكد من أنهم يفرضون مصادقة متعددة العوامل على جميع الحسابات ويسمحوا بحركة المرور فقط من المستخدمين أو المواقع المعتمدة. يجب على الشركات التي تأثرت أيضًا إعادة تعيين بيانات اعتماد تسجيل الدخول الخاصة بـ Snowflake. يؤدي تمكين المصادقة متعددة العوامل إلى تقليل فرص اختراق الحسابات عبر الإنترنت بشكل كبير. كما ذكرنا سابقًا، ذكرت TechCrunch هذا الأسبوع أنها شاهدت “المئات من بيانات اعتماد عميل Snowflake المزعومة” التي تم الاستيلاء عليها عن طريق برامج ضارة لسرقة المعلومات من أجهزة الكمبيوتر الخاصة بالأشخاص الذين تمكنوا من الوصول إلى حسابات Snowflake.
في السنوات الأخيرة، وبالتزامن مع زيادة عدد الأشخاص الذين يعملون من المنزل منذ تفشي جائحة كوفيد-19، كان هناك ارتفاع في استخدام البرمجيات الخبيثة لسرقة المعلومات. يقول إيان جراي، نائب رئيس قسم الاستخبارات في شركة Flashpoint الأمنية: “أصبحت برامج سرقة المعلومات أكثر شعبية بسبب ارتفاع الطلب عليها وسهولة إنشائها إلى حد كبير”. لقد شوهد أن المتسللين يقومون بنسخ أو تعديل المعلومات المسروقة الموجودة وبيعها مقابل أقل من 10 دولارات لجميع تفاصيل تسجيل الدخول وملفات تعريف الارتباط والملفات والمزيد من جهاز واحد مصاب.
يقول جراي: “يمكن تسليم هذه البرامج الضارة بطرق مختلفة وتستهدف المعلومات الحساسة مثل بيانات المتصفح (ملفات تعريف الارتباط وبيانات الاعتماد)، وبطاقات الائتمان، ومحافظ العملات المشفرة”. “قد يقوم المتسللون بتمشيط السجلات بحثًا عن بيانات اعتماد المؤسسة لاقتحام الحسابات دون إذن.”
