Tudi AT&T med žrtvami vdora v Snowflakov oblak
Jurij Kristan
14. jul 2024 ob 19:47:19
Iz ameriškega telekomunikacijskega giganta AT&T so sporočili, da so zlikovci ukradli metapodatke o klicih in sporočilih praktično vseh njihovih strank. Gre za enega od doslej najodmevnejših primerov iz skupine vdorov v oblak podjetja Snowflake.
Očitno bo letošnje leto na področju kibernetske varnosti minevalo v znamenju orjaškega vdora v internetno odložišče ameriške družbe Snowflake. Da morda prihaja do neprimernih dostopov do odložišč strank, so administratorji prvič posumili sredi aprila in za preiskavo incidentov najeli Googlovo varnostno podružnico Mandiant. Preiskovalci so do sredine maja zbrali dovolj informacij za sklep, da gre za organiziran, množičen napad na Snowflakove stranke s strani enega akterja, ki so ga poimenovali UNC5537. V dogovoru z ameriškimi zveznimi preiskovalci je iskanje nepridipravov na začetku potekalo na skrivaj, zato je javnost o aferi izvedela šele 10. junija. Prizadetih naj bi bilo kar 165 podjetij, med katerimi jih večina še ostaja neznanih; med prvimi so se že konec maja - ko obseg kampanje še ni bil znan - izpostavili pri Ticketmasterju.
Zanimivo je, da v tem primeru dejansko ne gre za kakšen posebno sofisticiran napad, ki bi podrl Snowflakova vrata, temveč za združitev nakradenih podatkov za vstop v posamezne račune strank. Malopridneži so si očitno vzeli čas in širom hekerskih tržnic zbrali kopico tovrstne robe, ki se je stekala iz različnih izvedenk zlobne kode. Sredi junija naj bi stopili tudi v stik z medijem Wired; tam so zatrdili, da gre za podvig skupine ShinyHunters in da so del podatkov pridobili tudi preko vdorov v razne pogodbenike. Njihov poglavitni doprinos je bilo nato predvsem spisanje orodij, ki so zbrane podatke uporabili za hiter dostop do računov in prenos tamkajšnjih datotek; tudi skozi strežnike v Moldaviji.
Po dosedaj znanih informacijah naj bi falotje nakraden material uporabljali pretežno za izsiljevanje, oziroma zahtevke po odkupnini. Da bi v tej kolobociji lahko trpeli tudi navadni ljudje, pa kaže zadnja objava telekomunikacijskega velikana AT&T, da so v tej seriji vdorov odtekli metapodatki vseh njihovih 110 milijonov uporabnikov za obdobje med 1. majem in 31. oktobrom 2022. Ker gre zgolj za metapodatke, notri sicer ni vsebine klicev in sporočil, kot tudi ne direktno navedenih osebnih podatkov, kot so imena ali naslovi. So pa zato kombinacije telefonskih številk pri klicih oziroma komunikaciji; celokupno trajanje in število klicev v določenih daljših obdobjih (mesecih), ponekod pa tudi informacije o povezavi z bazno postajo, iz katere bi se lahko uporabnikom lokacijsko sledilo. Ker je mogoče ponekod številke dokaj enostavno povezati s konkretnimi osebami, bi bilo mogoče takšne podrobnosti uporabiti pri naprednejših oblikah ribarjenja. V AT&T sicer trdijo, da se ta baza še ni znašla na tržnicah temnega spleta.
Glavni zanimivosti, oziroma nauka, sta tu predvsem dve. Prvič, dogodek je v največji meri posledica splošno porazne varnostne prakse tako Snowflaka kakor njihovih strank. Večina prizadetih namreč ni uporabljala dvostopenjske avtentikacije - ker je pri Snowflaku tudi ne zahtevajo. Da je mera polna, očitno ponekod sploh niso menjali gesel, saj naj bi bila nekatera ukradena že leta 2020! Čeprav se družba brani, da je 2FA na voljo in so stranke krive same, strokovnjaki opozarjajo, da je dizajn njihovega vmesnika grozno pomanjkljiv. In drugič, v konkretnem primeru AT&T bode v oči dejstvo, da podjetje sploh zbira takšne količine metapodatkov, za katere na prvi pogled ni nekega pametnega razloga.
DODATEK: Pri Wiredu danes poročajo, da so pri AT&T za izbris ukradenih datotek že maja plačali 5,7 bitcoina, oziroma 370.000 dolarjev.