Anfang Juni sorgte ein grossangelegter Cyberangriff, bei dem unter anderem
Daten von Ticketmaster und der Bank Santander gestohlen wurden, für Aufsehen. Damals wurde vermutet, dass die Lecks in Zusammenhang mit dem Cloud-Anbieter Snowflake stehen. Schnell wurden weitere Betroffene bekannt: Bis zu 165 Kunden sollen
gemäss dem Cybersecurity-Anbieter Mandiant von der Gruppe "Shinyhunters" kompromittiert worden sein.
Lange Zeit blieb dabei aber unklar, wie genau die Cyberkriminellen auf die Systeme von Snowflake zugreifen konnten. Der Cloud-Anbieter stritt stets ab, dass er den Datenabfluss zu verantworten hatte. Gegenüber
'Wired' behauptete jetzt ein mutmasslich an der Aktion beteiligter Hacker, dass sich die Gruppe den Zugang zu den Snowflake-Konten über einen Drittanbieter aus Weissrussland verschafft hätte.
Laut dem Hacker diente ein weissrussisches Softwareentwicklungs- und Dienstleistungsunternehmen als Einfallstor. Dabei haben die Angreifer nach eigenen Angaben die Login-Daten eines Mitarbeiters verwendet, um sich Zugang zu den Snowflake-Konten zu verschaffen. Die Firma ihrerseits bestreitet die Ausführungen des Angreifers.
Logins auf dem Computer entdeckt
Der Hacker behauptet, dass der Computer eines Mitarbeiters in der Ukraine im Rahmen einer Spear-Phishing-Attacke mit einer Infostealer-Malware infiziert wurde. So soll auf dem System eines Mitarbeiters ein Remote-Access-Trojaner installiert worden sein, der einen vollständigen Zugriff auf den gesamten Computer ermöglichte. Dabei ist unklar, ob Shinyhunters den Erstzugang selbst installiert oder sich diesen von einer weiteren Partei gekauft hat.
Auf dem Computer fanden die Cyberkriminellen gemäss 'Wired' unverschlüsselte Benutzernamen und Passwörter, mit denen der Mitarbeiter auf Snowflake-Konten von Kunden zugreifen konnte. Darunter soll sich auch das Konto von Ticketmaster befunden haben. Die Hacker nutzten diese Zugangsdaten dann, um auf verschiedene Snowflake-Konten zuzugreifen, die nicht mit Multifaktor-Authentifizierung (MFA) gesichert waren.
Der Angreifer behauptet, dass die Gruppe in einigen Fällen in der Lage war, direkt auf Snowflake-Konten zuzugreifen, indem sie die Benutzernamen und Passwörter verwendeten, die sie auf dem Computer des Mitarbeiters einsehen konnten. Weitere Logins fanden sie zudem bei der Analyse von älteren Zugangsdaten, die bei früheren Angriffen gestohlen wurden.
Alte Zugangsdaten verwendet
'Wired' konnte nicht unabhängig überprüfen, ob die Hacker wirklich in den Rechner des Mitarbeiters eindringen konnten. Der Cyberkriminelle hat dem amerikanischen Tech-Magazin aber eine Datei ausgehändigt, "bei der es sich offenbar um eine Liste von Anmeldedaten handelt, die aus einer Datenbank des Unternehmens gestohlen wurde".
Mandiant fand zudem heraus, dass bei rund 80% der Betroffenen, die im Rahmen der Kampagne identifiziert wurden, bereits zuvor Zugangsdaten kompromittiert, respektive von Infostealern gestohlen und veröffentlicht worden waren. Ein unabhängiger Sicherheitsforscher wies 'Wired' zudem auf eine Online-Repository mit Daten hin, die ebenfalls von einem Infostealer erbeutet wurden, darunter fanden sich auch Informationen, die vom Computer des Mitarbeiters in der Ukraine stammten.
Zu den gestohlenen Daten gehört unter anderem der Browserverlauf des Mitarbeiters, der auch eine interne URL enthält, die auf das Snowflake-Konto von Ticketmaster verweist. "Das bedeutet, dass ein Mitarbeiter, der Zugang zu diesem Snowflake-Konto hatte, eine Malware zum Diebstahl von Passwörtern auf seinem Computer hatte, und dass sein Passwort gestohlen und im Dark Web verkauft wurde", sagte der Forscher.
"Das bedeutet, dass jeder, der die korrekte URL zu Snowflake kennt, einfach das Passwort nachschlagen, sich einloggen und die Daten stehlen kann", so der Forscher. Die Bitte um eine weitere Stellungnahme von 'Wired hat das weissrussische Unternehmen abgelehnt: "Wir kommentieren keine Situationen, an denen wir nicht beteiligt sind", hiess in einer E-Mail.
Wer sind die weiteren Betroffenen?
Wie 'Wired' schreibt, wanderte der Gründer des Unternehmens in den 90er-Jahren von Weissrussland in die USA aus und gründete dort 1993 seine eigene Firma. Bis zum Einmarsch von Russland in die Ukraine waren fast zwei Drittel der 55'000 Mitarbeitenden in der Ukraine, Weissrussland und Russland tätig. Mittlerweile hat das Unternehmen seinen Betrieb in Russland eingestellt und Mitarbeitende aus der Ukraine an Standorten ausserhalb des Landes untergebracht.
Zu den Kunden des Drittanbieters gehören Banken, Finanzdienstleister, das Gesundheitswesen, Rundfunk- und Fernsehnetzwerke, die pharmazeutische Industrie, Energie- und andere Versorgungsunternehmen, Versicherungen sowie Software- und Tech-Unternehmen, darunter auch Microsoft, Google, Adobe und Amazon Web Services. Es könnten also durchaus noch weitere bekannte Opfer publik werden.