Rok 2024 sa do dejín kybernetickej bezpečnosti zapíše ako rok, kedy jedna z najmodernejších cloudových platforiem na svete čelila bezprecedentnému tlaku. Únik dát zo spoločnosti Snowflake neznamenal len stratu informácií pre jednu firmu, ale spustil dominový efekt, ktorý zasiahol stovky globálnych gigantov vrátane Ticketmaster či Santander. Tento incident otvoril vášnivú diskusiu o tom, kde končí zodpovednosť poskytovateľa cloudu a kde začína povinnosť zákazníka chrániť si vlastné prístupy. Mnohí manažéri na Slovensku si teraz kladú otázku, či sú ich dáta v bezpečí, ak využívajú podobné SaaS riešenia. V nasledujúcom texte podrobne analyzujeme mechanizmus tohto masívneho útoku, identifikujeme identitu útočníkov a pozrieme sa na reálne riziká, ktoré tento incident predstavuje pre slovenský podnikateľský sektor a štátnu správu, ktoré čoraz častejšie migrujú do cloudu.
Anatómia útoku na Snowflake: Čo sa v skutočnosti stalo?
Na prelome mája a júna 2024 začali na verejnosť prenikať správy o masívnych únikoch dát z prostredia cloudovej platformy Snowflake, ktorú firmy využívajú na ukladanie a analýzu obrovského množstva informácií. Na rozdiel od klasických hackerských útokov, kedy útočníci prekonajú obranu samotného softvéru, v tomto prípade išlo o sofistikovanú kampaň zameranú na krádež prihlasovacích údajov priamo od zákazníkov. Snowflake ako platforma nebola technicky „prelomená“ v zmysle zraniteľnosti v kóde, čo je dôležitý rozdiel pre pochopenie celého incidentu.
Útočníci využili metódu známu ako credential stuffing. Pomocou vopred ukradnutých mien a hesiel, ktoré získali z predchádzajúcich únikov alebo prostredníctvom malvéru typu „infostealer“, sa pokúšali prihlásiť do klientskych účtov. Podľa bezpečnostných analytikov zo spoločnosti Mandiant bolo zasiahnutých minimálne 165 organizácií. Spoločným menovateľom všetkých obetí bol šokujúci fakt: postihnuté účty nemali aktivované viacfaktorové overenie (MFA). To umožnilo hackerom získať prístup k citlivým databázam bez akýchkoľvek ďalších prekážok.
Rozsah úniku bol katastrofálny. Napríklad spoločnosť Ticketmaster potvrdila únik dát o viac ako 560 miliónoch zákazníkov, zatiaľ čo Advance Auto Parts priznala krádež 3 terabajtov dát vrátane informácií o zamestnancoch. Tento incident ukázal, že aj tie najbezpečnejšie cloudové prostredia sú len také silné, ako je ich najslabší článok – v tomto prípade nedostatočne zabezpečený prístup používateľa.
Kto stojí za útokom? Identita a motívy skupiny UNC5537
Bezpečnostní experti z Mandiantu (patriaceho pod Google Cloud) identifikovali aktéra tohto útoku pod kódovým označením UNC5537. Ide o finančne motivovanú skupinu kyberzločincov, ktorá sa špecializuje na exfiltráciu dát a následné vydieranie firiem. Členovia tejto skupiny preukázali vysokú mieru trpezlivosti a technickej zdatnosti pri zhromažďovaní prístupových údajov, ktoré boli v niektorých prípadoch staré aj niekoľko rokov, no stále funkčné.
Motivácia UNC5537 je čisto pragmatická – peniaze. Po získaní prístupu k dátam v Snowflake útočníci stiahli maximum informácií a následne kontaktovali obete s požiadavkou na výkupné. Ak firma odmietla zaplatiť, dáta sa objavili na predaj na hackerských fórach ako BreachForums. Identita konkrétnych osôb zostáva nateraz neznáma, avšak predpokladá sa, že skupina má väzby na širšiu komunitu kyberkriminálnikov, ktorí obchodujú s tzv. logs (balíky ukradnutých dát z infostealerov).
Zaujímavosťou je, že útočníci nevyužívali žiadne zložité „zero-day“ zraniteľnosti. Namiesto toho sa spoliehali na ľudskú nedbalosť a nesprávne nakonfigurované bezpečnostné politiky firiem. Tento prístup je pre moderných hackerov čoraz atraktívnejší, pretože je lacnejší a často efektívnejší než hľadanie technických chýb v robustných systémoch spoločností ako Snowflake, Google či Microsoft.
Prečo boli útočníci úspešní? Kritické zlyhania v bezpečnosti
Úspech útoku na zákazníkov Snowflake v roku 2024 možno pripísať trom hlavným faktorom, ktoré by mali byť varovaním pre každého IT manažéra:
- Absencia MFA: Väčšina napadnutých účtov sa spoliehala výhradne na kombináciu mena a hesla. V ére masívnych únikov dát je toto považované za kardinálnu chybu.
- Využitie Infostealerov: Útočníci získali heslá pomocou malvéru (napr. RedLine, Vidar, Raccoon), ktorý infikoval osobné alebo nezabezpečené pracovné počítače zamestnancov. Tento malvér skopíruje uložené heslá z prehliadačov a odošle ich útočníkom.
- Dlhá platnosť prihlasovacích údajov: Mnohé z ukradnutých hesiel neboli zmenené roky, čo umožnilo útočníkom uspieť aj s dátami získanými v minulosti.
Okrem toho sa ukázalo, že niektoré firmy nemali nastavené IP whitelisting (povolenie prístupu len z konkrétnych IP adries). To znamenalo, že akonáhle útočník získal heslo, mohol sa do firemného cloudu prihlásiť odkiaľkoľvek na svete bez toho, aby systém vyvolal poplach. Tento incident jasne demonštruje, že zdieľaná zodpovednosť v cloude nie je len prázdna fráza – poskytovateľ síce stráži infraštruktúru, ale za kľúče od dverí (prístupy) nesie zodpovednosť výhradne zákazník.
Sú slovenské firmy v ohrození? Pohľad na lokálny trh
Otázka, či sú slovenské firmy v ohrození, je nanajvýš aktuálna. Hoci Slovensko nie je primárnym cieľom pre globálne hackerské skupiny tak, ako USA alebo Spojené kráľovstvo, naša ekonomika je silne prepojená so svetom. Mnohé slovenské pobočky nadnárodných korporácií využívajú Snowflake ako svoj centrálny dátový sklad. Ak dôjde k úniku na globálnej úrovni, dáta o slovenských zákazníkoch, zamestnancoch či lokálnom dodávateľskom reťazci sú v rovnakom nebezpečenstve.
Navyše, moderné slovenské firmy v sektoroch ako fintech, e-commerce, logistika a energetika čoraz viac prechádzajú na cloudové riešenia typu Snowflake, BigQuery alebo AWS Redshift. Riziko teda nie je teoretické. Ak slovenská firma podcení správu prístupov a nevyžaduje od svojich analytikov MFA, stáva sa ľahkým cieľom. Netreba zabúdať ani na GDPR. V prípade úniku osobných údajov slovenských občanov hrozia firmám likvidačné pokuty od Úradu na ochranu osobných údajov, bez ohľadu na to, že chyba nastala v cloude tretej strany.
Slovenský kybernetický priestor tiež čelí špecifickej hrozbe v podobe narastajúcej aktivity infostealerov, ktoré sa šíria cez phishingové e-maily v slovenčine. Ak zamestnanec slovenskej firmy nechtiac infikuje svoj počítač, útočník získa prístup k všetkým firemným portálom, do ktorých sa daný človek prihlasuje, vrátane kritických dátových platforiem.
5 kľúčových krokov k ochrane pred podobnými únikmi
Ak sa chcete vyhnúť osudu obetí útoku na Snowflake, je nevyhnutné implementovať robustnú stratégiu správy prístupov. Tu je päť odporúčaní pre slovenské organizácie:
- 1. Striktné vynucovanie MFA: Viacfaktorové overenie nesmie byť voliteľné. Musí byť povinné pre každého používateľa bez výnimky, ideálne s využitím hardvérových kľúčov alebo overovacích aplikácií, nie SMS kódov.
- 2. Implementácia Network Policies: Nastavte cloud tak, aby prijímal prihlásenia len z dôveryhodných IP adries (napr. firemná VPN alebo statické IP adresy kancelárie).
- 3. Pravidelná rotácia a monitoring: Heslá by sa mali meniť v pravidelných intervaloch a neaktívne účty musia byť okamžite deaktivované. Monitorujte podozrivé aktivity, ako sú prihlásenia v neobvyklých časoch alebo z exotických lokalít.
- 4. Vzdelávanie zamestnancov o infostealeroch: IT bezpečnosť nie je len o softvéri, ale o ľuďoch. Zamestnanci musia vedieť, že ukladať si pracovné heslá v osobnom prehliadači Chrome je obrovské riziko.
- 5. Audit tretích strán: Ak zdieľate dáta s partnermi, ktorí používajú Snowflake alebo podobné platformy, pýtajte sa ich na ich bezpečnostné štandardy. Vaše dáta sú len také bezpečné, ako je ich najslabší spracovateľ.
Zavedením týchto opatrení dramaticky znížite plochu útoku. Kybernetická hygiena by mala byť súčasťou firemnej kultúry, nie len položkou v rozpočte IT oddelenia. V dnešnom prepojenom svete už neplatí otázka „či budeme cieľom“, ale „kedy sa tak stane a či budeme pripravení“.
Únik dát zo Snowflake v roku 2024 slúži ako tvrdá lekcia pre moderný digitálny svet. Ukázal nám, že ani tá najvyspelejšia technológia nedokáže ochrániť používateľa pred ním samým, ak zanedbá základné pravidlá bezpečnosti. Prípad UNC5537 potvrdil, že kyberzločinci nepotrebujú zložité nástroje na to, aby spôsobili škody v miliardách eur; stačí im len jedna nepozornosť, jedno nechránené heslo a absencia druhého faktora overenia. Pre slovenské firmy je tento incident jasným signálom na audit ich vlastných cloudových prostredí. Bezpečnosť už nemožno vnímať ako doplnkovú funkciu, ale ako základný pilier prežitia na trhu. Digitalizácia a prechod do cloudu prinášajú obrovské výhody v efektivite a inováciách, no ruka v ruke s nimi musí ísť aj zodpovednosť. Slovenské spoločnosti by mali investovať nielen do technológií, ale predovšetkým do vzdelávania zamestnancov a nastavenia procesov, ktoré minimalizujú ľudský faktor ako najslabší článok reťazca. Incident Snowflake nie je len príbehom o útoku, je to príbeh o potrebe novej úrovne bdelosti v dobe, kedy sa hranice medzi lokálnym počítačom a globálnym cloudom definitívne zmazali. Poučme sa z chýb iných skôr, než sa naše vlastné dáta stanú predmetom aukcie na temnej sieti.
