Snowflake Dosyası: Tehdit aktörleri, Hudson Rock’a bilerek yanlış bilgiler vermiş olabilir!

Snowflake veri sızıntısının arkasında yer aldığını iddia eden bir tehdit aktörü, siber tehdit istihbarat şirketi olan Hudson Rock ile bir görüşme gerçekleştirmişti. Gerçekleştirilen görüşmede tehdit aktörleri Ticketmaster’a ek olarak Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive, Santander Bank ve State gibi kuruluşların verilerine de eriştiklerini belirtmiş.

Hudson Rock’un yayından kaldırılan yazısında, hikayenin ilk olarak Rusça konuşulan hack formu olan exploit(.)in’de 24 Mayıs’ta satışa sunulan Santander Bank verisiyle başlamış. Güvenlik araştırmacıları, tehdit aktörü ile iletişime geçip konuşmaya başladıktan sonra tehdit aktörü, tüm ihlallerin tek bir sağlayıcıdan (SnowFlake) kaynaklandığını belirtmiş.

Olayın teknik tarafıyla ilgili olarak, tehdit aktörleri çalıntı kimlik bilgilerini satın alarak yada ele geçirerek bir Snowflake çalışanının ServiceNow hesabında oturum açabildiklerini belirtmiş. Daha sonra ise bu ServiceNow hesabını kullanarak “lift(.)snowflake(.)com” adresinde bulunan OKTA’yı atlatabilmişler.

Tek bir kimlik hesabı bilgisi ile bu kadar büyük veri sızıntısının inandırıcılığı noktasında problem olacağını düşünmüş olmalarından kaynaklı olsa gerek, tehdit aktörleri Snowflake’in Avrupa sunucularıyla ilgili 2000’den fazla müşteri örneğininin yer aldığı csv dosyasını Hudson Rock ile paylaşmış.

Hudson Rock, bu dosyayı analiz ettikten sonra bir Snowflake çalışanının makinasına 5 Ekim 2023’te Lumma tipi bir Infostealer’ın bulaştığını tespit etmiş. Snowflake’in altyapısına ilişkin diğer hassas kimlik bilgilerinin yanı sıra, bu çalışanın giriş bilgileri (adelou) bir belirli bir sunucununda güvenliği ihlal edilmiş.

Tehdit aktörleri, Snowflake’den veriler karşılığında 20 milyon dolar para istemiş. Ancak, şirket bu isteklerine herhangi bir geri dönüş yapmamış.

Hudson Rock’un yazısına “trollenmiş” iddiası

Databreaches.net, Hudson Rock’un yazısıyla ilgili olarak ShinnyHunter ile bir görüşme gerçekleştirmiş. Tehdit aktörü, Hudson Rock ile konuşanın kendisi olmadığını, “lift(.)snowflake(.)com”a erişmede kullanılan ServiceNow hesabıyla ilgili bilgilerin ise dezenformasyon olduğunu dile getirdi.

İkinci olarak ise tehdit aktörü tarafından paylaşılan csv dosyasının, kesinlikle müşteri verileri olmadığını ve bir çalışan dizininden alınan veriler olduğunu belirtti.

ShinnyHunters, tek doğru olan kısmın ise veriler karşılığında Snowflake’den 20 milyon dolar istemeleri olduğunu dile getirmiş.