Comme le rapporte Mandiant (une société de sécurité des systèmes informatiques), le groupe de piratage UNC5537 s'est introduit dans un système de stockage cloud appartenant à la célèbre société Snowflake et a volé des données confidentielles appartenant aux clients utilisant ses services.

Les pirates informatiques, qui ont mené l'attaque depuis les États-Unis, ont récupéré les données appartenant à plus de 150 entreprises utilisant les services de Snowflake. Leur mode de fonctionnement est simple. Après avoir mené une attaque, ils tentent toujours d'extorquer une rançon en échange de la récupération des fichiers ou menacent de les publier sur Internet si cette demande n'est pas satisfaite.

L'enquête a montré que Snowflake n'était pas responsable de l'incident car les pirates ont utilisé les informations d'identification de ses clients, qui avaient été précédemment volées sur des systèmes externes. Non seulement les instances client Snowflake compromises n’étaient pas protégées par un système d’authentification multifacteur, mais elles n’étaient pas non plus accompagnées d’une liste de réseaux connus pouvant y avoir accès. Les pirates ont accédé à l'instance à l'aide de l'interface utilisateur Web native.

Madiant souligne que les attaques du groupe UNC5537 contre les instances client de Snowflake ne reposent sur aucun scénario particulièrement nouveau. Tout indique que les attaques ont commencé à la mi-avril et ciblaient des comptes ne disposant pas de mesures de sécurité appropriées utilisant l'authentification à deux facteurs. Mandiant affirme que certaines des informations d'identification utilisées dans la campagne ont été volées il y a des années à l'aide d'un certain nombre de programmes malveillants, notamment Lumma, Meta et Racoon Stealer.

Snowflake n'exige pas par défaut que ses clients utilisent des fonctionnalités de sécurité supplémentaires, telles que l'authentification à deux facteurs. Après avoir détecté l'attaque, l'entreprise a seulement déclaré qu'elle mettrait en œuvre prochainement une réglementation visant à obliger les clients à utiliser une authentification à deux facteurs, ce qui rendra la vie beaucoup plus difficile aux pirates. Toutefois, il n'a pas fourni de calendrier détaillé pour la mise en œuvre d'une telle exigence.

A lire également