Snowflake : une campagne datant au moins d’avril touchant 165 clients

Fin mai, la nouvelle tombe, retentissante : des données de plusieurs centaines de milliers de clients de Ticketmaster auraient été mises en vente par un cybercriminel. Le même assurerait disposer de données relatives à quelques dizaines de millions de clients de Santander.

Depuis des acteurs malveillants disent avoir obtenu 3 To de données d’Advance Auto Parts, un revendeur de pièces détachées automobiles d’Amérique du Nord. Celles-ci auraient été obtenues dans le cadre d’une vaste campagne visant les clients de Snowflake. Comme pour Ticketmaster et Santander.

Tout récemment, Pure Storage s’est dit lui aussi affecté. Dans une note d’information, il indique avoir « confirmé et résolu un incident de sécurité impliquant un tiers qui avait temporairement obtenu un accès non autorisé à un espace de travail unique d’analyse de données Snowflake. L’espace de travail contenait des informations télémétriques que Pure utilise pour fournir des services proactifs d’assistance à la clientèle. Ces informations comprennent les noms des sociétés, les noms d’utilisateur LDAP, les adresses électroniques et le numéro de version du logiciel de Purity ».

Pure Storage indique que cet espace « ne contenait pas d’informations compromettantes telles que les mots de passe » et que « les informations de télémétrie ne peuvent pas être utilisées pour obtenir un accès non autorisé aux systèmes des clients ».

En fait, selon Mandiant, mandaté par Snowflake pour enquêter, quelque 165 clients de l’éditeur sont susceptibles d’avoir été concernés par une campagne attribuée à un acteur suivi sous la référence UNC5537. 

Cet acteur aurait obtenu « un accès aux instances de clients Snowflake de plusieurs organisations par le biais d’informations d’identification de clients volées. Ces informations d’identification ont été obtenues principalement à partir de plusieurs campagnes de logiciels malveillants de type infostealer qui ont infecté des systèmes n’appartenant pas à Snowflake ». 

Les comptes compromis « n’étaient pas configurés avec l’authentification à facteurs multiples [MFA] activée ». Au moment de l’enquête, « les informations d’identification identifiées dans les résultats des logiciels malveillants de type “infostealer” étaient toujours valables, parfois des années après avoir été volées, et n’avaient pas fait l’objet d’une rotation ou d’une mise à jour ».

Parmi les infostealers impliqués, Mandiant mentionne Vidar, RisePro, Redline, Racoon, Lumma, et Metastealer : « au moins 79,7 % des comptes exploités par l’acteur de la menace dans le cadre de cette campagne avaient déjà été exposés ». La première compromission de tels identifiants ainsi constatée remonte à… novembre 2020. De quoi relancer la question de savoir combien de victimes de cyberattaque en devenir s’ignorent encore.

Pour l’heure, les constations de Mandiant font remonter la première exploitation d’identifiants ainsi dérobés au 14 avril 2024.