窃取凭据攻破百家企业云端,2024年Snowflake供应链攻击始末

2024年5月30日 · 行业动态

从暗网数据挂牌到SEC紧急文件

2024年5月27日,知名黑客组织ShinyHunters在暗网论坛Breach Forums上架了一批规模惊人的数据——据称包含5.6亿条Ticketmaster用户记录,标价50万美元。三天后的5月30日,Ticketmaster母公司Live Nation向美国证券交易委员会(SEC)提交8-K文件,正式确认其第三方云数据库环境中发现未授权活动,且犯罪威胁行为者已通过暗网出售公司用户数据 (SEC EDGAR)

这不是一次孤立的入侵事件。同一时期,西班牙银行业巨头Santander也确认其存储在Snowflake云平台上的客户和员工数据遭到未授权访问。安全公司Mitiga在5月30日发布报告,将这一系列攻击归因于一个被追踪为UNC5537的威胁组织——该组织正利用窃取的凭据,对Snowflake数据库客户发起系统性的身份攻击和数据窃取行动 (Mitiga Security) (TechTarget/Dark Reading)

UNC5537:用你的密码登录你的数据库

Cloud安全公司Mandiant受Snowflake委托开展调查,将威胁组织追踪为UNC5537——一个以经济动机为导向的威胁行为者,与此前因多起大规模数据泄露而臭名昭著的Scattered Spider组织存在关联。

UNC5537的攻击手法并不复杂,但异常高效。据调查,最早的攻击活动可追溯至2024年4月14日。攻击者并非通过利用Snowflake平台漏洞入侵,而是使用了一种看似"常规"的方式:用窃取的用户名和密码直接登录

这些凭据的来源链条清晰:攻击者首先通过信息窃取恶意软件(Infostealer Malware,包括Vidar、RisePro、RedLine、Raccoon、Lumma等家族)感染Snowflake客户员工的个人设备,从浏览器保存的密码、凭证管理器中提取Snowflake账户登录信息。这些被窃取的凭据随后在地下犯罪市场中流通,最终被UNC5537获取并用于攻击。据调查,部分被盗凭据可追溯至2020年——长达四年未被轮换 (safeguard.sh)

在获取凭据后,UNC5537部署了一个被Mandiant追踪为FROSTBITE(又名rapeflake)的自定义侦察工具,用于在受害者Snowflake实例中执行SQL查询以收集用户角色、IP地址、会话ID等系统信息。攻击者还使用DBeaver Ultimate跨实例运行SQL查询,并通过SHOW TABLESSELECT *CREATE TEMPORARY STAGECOPY INTO等命令完成数据暂存、压缩和窃取 (Mandiant/Google Cloud)

三大受害者的损失图景

截至5月底,至少已有100个Snowflake客户账户遭到UNC5537的系统性攻击。其中三起事件影响最为严重:

AT&T:4月14日至25日期间,攻击者访问了AT&T的Snowflake实例,窃取了近1.1亿条客户通话和短信记录,涵盖2022年5月1日至10月31日期间的数据。这些记录包含通话方电话号码、通话时长和时间戳以及基站识别信息,涉及AT&T几乎所有无线客户以及使用AT&T网络的移动虚拟运营商用户 (TechTarget/Dark Reading)

Ticketmaster/Live Nation:ShinyHunters声称窃取了5.6亿条用户记录及1.3TB数据,包括客户姓名、地址、电话号码、电子邮件、门票购买历史和部分支付卡信息。Live Nation在5月20日发现未授权活动,5月27日发现数据被挂牌出售,5月30日向SEC提交披露文件 (SEC EDGAR)

Santander:确认其存储在Snowflake中的客户和员工数据遭到未授权访问,涉及西班牙、智利和乌拉圭的客户数据,包含银行账户详情、信用卡号码和人力资源信息,影响约3000万客户 (Nightfall AI) (CyberSec AU)

三个叠加的安全疏失

Snowflake官方强调,其自身平台未被入侵,不存在被利用的漏洞或错误配置。调查证实,所有攻击均可追溯至客户侧的三重安全失效:

未启用多因素认证(MFA):所有被入侵的Snowflake客户账户均未启用MFA。在Snowflake的设计中,MFA是一项由用户自行启用的可选控制措施,而非强制要求。这意味着攻击者仅凭用户名和密码即可完成身份验证——当密码已被窃取时,MFA本应是最后一道防线 (safeguard.sh)

凭据长期未轮换:Mandiant的调查发现,被攻击者利用的凭据中有79.7%此前已有泄露记录。部分凭据在地下犯罪市场中流通了长达四年之久,但对应的Snowflake账户从未更换过密码。许多受影响账户的密码保存在浏览器中,或通过Chrome个人资料在个人和企业设备间同步,增加了被信息窃取恶意软件捕获的风险 (TechTarget/Dark Reading)

未配置网络白名单:Snowflake提供了网络策略功能,允许客户限制可访问其实例的IP地址范围。然而,许多受影响客户要么未配置此功能,要么将其设置为完全开放——这意味着凭据一旦泄露,攻击者可以从世界任何地方直接登录生产环境 (safeguard.sh)

共同责任模型的裂缝

Snowflake运营在一个共同安全责任模型之下:Snowflake负责基础设施安全,客户负责管理访问控制。这一模型在此次事件中暴露出严重的裂缝——客户普遍假设Snowflake会处理威胁检测,而Snowflake则依赖客户实施MFA和监控凭据安全。这种模糊的责任边界为攻击者创造了理想的操作空间 (Nightfall AI)

值得注意的是,在许多案例中,被信息窃取恶意软件感染的设备属于外包承包商的个人设备,这些设备被用于访问多个客户的Snowflake实例,进一步放大了影响的爆炸半径。一个被感染的承包商设备可能同时暴露多个组织的数据 (safeguard.sh)

攻击者利用这一系统性弱点实施了勒索行动。据调查,UNC5537通过向受害组织发送勒索信——附带被窃数据作为证明——要求支付赎金以换取数据删除,威胁若不付款则公开出售数据。据估计,攻击者通过勒索活动获取了200万至270万美元的非法收益 (AllThingsGeek)

SaaS安全的时代转折

Snowflake攻击事件的本质,是身份攻击对云服务构成的巨大威胁的一次集中爆发。攻击者没有利用任何零日漏洞,没有部署任何高级持续性威胁工具,仅仅使用了被窃取的凭据和最基础的SQL命令——但造成的影响却堪比最复杂的网络攻击。

这为整个行业敲响了警钟:SaaS平台上的身份安全不再是可选配置,而是必须强制的基线。MFA强制启用、凭据定期轮换、网络访问策略白名单、对承包商设备的访问管控——这些看似基础的安全措施,恰恰是抵御此类攻击的关键防线。

当云数据仓库成为企业核心数据资产的存储地时,保护其访问入口的安全就等同于保护数据本身。Snowflake客户的教训很明确:在共享责任模型中,你的那一半责任,没有人替你承担。


参考来源:SEC EDGAR - Live Nation 8-K FilingMandiant/Google Cloud - UNC5537 Threat AssessmentMitiga SecurityTechTarget/Dark Readingsafeguard.shNightfall AI

← 返回文章列表