Attacco hacker di massa ai clienti di Snowflake: almeno 165 aziende violate

La violazione delle istanze cloud di clienti Snowflake, realtà di primo piano nel panorama dei servizi cloud storage, sta assumendo contorni di particolare gravità, con conseguenze che interessano numerosi realtà, tra le quali aziende di rilievo, fatte di sottrazione di grandi quantità di dati privati e sensibili.

Il primo allarme è scattato nelle passate settimane, quando la nota piattaforma di biglietteria Ticketmaster ha annunciato il furto di 560 milioni di record di clienti custoditi su Snowflake. Un bottino di nomi, indirizzi, numeri di telefono e parziali carte di credito messo in vendita dagli hacker su canali criptati del dark web. Anche l'istituto bancario spagnolo Santander ha rivelato di essere stata vittima di una sottrazione di dati riservati dei propri correntisti, offerti sulla stessa piazza virtuale e anch'essi custoditi tramite i servizi cloud messi a disposizione da Snowflake.

Purtroppo non si è trattato di casi isolati, e anzi sono solamente la punta dell'iceberg di quanto accaduto. Mandiant, la società di sicurezza informatica sussidiaria di Google e incaricata da Snowflake di indagare su quanto accaduto, ha già identificato almeno 165 clienti colpiti dall'incidente di sicurezza, anche se il computo totale delle vittime potrebbe essere destinato a crescere.

L'accesso iniziale agli account Snowflake violati è avvenuto utilizzando le stesse utility dell'azienda, SnowSight e SnowSQL, sfruttando uno strumento di intrusione chiamato Frostbite assieme a credenziali di accesso trafugate mediante strumenti infostealer come Vidar, Risepro, Redline, Racoon Stealer, Lumma e MetaStealerMalware e ottenute prendendo di mira i clienti usando malware su sistemi non necessariamente di Snowflake. Mandiant sottolinea inoltre che gli account coinvolti non erano configurati con sistemi di autenticazione multifattoriale, che avrebbero evitato la compromissione.

L'operazione, secondo le indagini di Mandiant, è attribuita ad un gruppo hacker noto con il nome UNC5537, i cui membri sono principalmente situati in Nord America e il cui obiettivo è la pura e semplice estorsione finanziaria. Gli analisti di Mandiant stimano che l'ondata di violazioni abbia avuto inizio già a novembre 2020, per poi esplodere con un picco nell'aprile scorso. Il gruppo UNC5537 fa uso di servizi VPN, server VPS, del servizio di cloud storage MEGA e di numerosi alias su Telegram. I dati trafugati dalle campagne di compromissione sono stati archiviati su molteplici provider di hosting e storage virtuale, compreso il già citato servizio cloud MEGA.

L'analisi di Mandiant di fatto dimostra che non vi sia stata alcuna malagestione da parte della stessa Snowflake anche se il noto esperto di cybersecurity Kevin Beaumont ritiene che la società abbia comunque responsabilità importanti, che derivano da un sistema di autenticazione definito come "terribile" e che avrebbe permesso che tutto ciò accadesse. Tuttavia non è possibile non riconoscere la responsabilità diretta delle vittime finali di queste violazioni di dati, colpevoli di politiche di sicurezza inadeguate rispetto a quanto richiesto dal contesto attuale.

Mandiant ha pubblicato gli elementi indicatori di compromissione, suggerendo inoltre di adottare un processo di monitoraggio delle credenziali: una pratica, questa, che dovrebbe essere adottata trasversalmente e non solo dai clienti di Snowflake, dal momento che questo incidente dimostra quali possano essere le ripercussioni di credenziali sottratte, magari anche anni addietro, ma mai aggiornate. E' stato infine messo a disposizione un documento sul rafforzamento della sicurezza degli ambienti Snowflake.