V říjnu letošního roku kanadské úřady zatkly Alexandra Moucku, který je obviněn z neoprávněného přístupu do stovek účtů uživatelů cloudové platformy Snowflake. Útok, který zahrnoval krádež osobních údajů milionů lidí, je podle odborníků jedním z nejrozsáhlejších kybernetických incidentů roku 2024. Jak potvrdilo kanadské ministerstvo spravedlnosti, Moucka, který používal pseudonym Connor Moucka, byl zatčen na základě předběžného zatýkacího rozkazu vydaného Spojenými státy. Zatímco jeho případem se nyní zabývají kanadské a americké úřady, případné podrobnosti ohledně vydání do USA nejsou dosud veřejně známy.

K prvnímu veřejnému oznámení tohoto útoku došlo již v květnu, kdy společnost Live Nation, vlastník značky Ticketmaster, informovala o úniku dat milionů svých zákazníků, která byla uskladněna na serverech Snowflake. Tento incident vedl k odcizení údajů, jako jsou jména, adresy, telefonní čísla a části čísel kreditních karet, což přineslo vážné obavy o bezpečnost osobních dat zákazníků.

Kybernetické útoky infostealerů: Hrozba 21. století

Incident u Snowflake odhalil alarmující trend ve světě kybernetických útoků, kdy jsou ke kompromitaci firem využívány malware známý jako „infostealery.“ Tento typ malware slouží k získávání přihlašovacích údajů a jiných citlivých informací, které jsou následně shromažďovány v rozsáhlých databázích a často čekají na své použití i několik let. V případě Snowflake byly kompromitovány stovky firemních účtů, a to v důsledku nedostatečné ochrany a chybějícího vícefaktorového ověření (MFA). V reakci na incident Snowflake zpřísnil bezpečnostní politiku a zavedl povinné MFA a požadavek na minimální délku hesla.

K vyšetřování případu byl povolán tým odborníků společnosti Mandiant, která identifikovala pachatele jako kybernetickou skupinu známou pod názvem UNC5537, jejímž hlavním členem měl být právě Moucka. Podle Mandiantu byla skupina UNC5537 zodpovědná za rozsáhlé útoky na chybně nastavené SaaS systémy napříč různými sektory. Kybernetičtí experti uvádí, že tento útok poukázal na zranitelnosti v oblasti cloudových služeb, které stále častěji slouží jako cíl pro sofistikované kybernetické hrozby.

Zdroj: Shutterstock

„Alexander ‘Connor’ Moucka, který vystupuje pod označením UNC5537, je jedním z nejvýznamnějších aktérů na poli kybernetických hrozeb letošního roku,“ uvedl Mandiant ve svém prohlášení. „Od dubna 2024 se podílel na rozsáhlé kampani, jejímž cílem bylo napadnout špatně zabezpečené instance SaaS systémů, což vedlo k masivním ztrátám dat a četným případům vydírání.“

Široký dopad na firmy a zákazníky

Kromě Ticketmasteru zasáhl útok Moucky a jeho kompliců několik dalších významných firem, včetně telekomunikačního giganta AT&T a španělské banky Santander. AT&T například v červenci oznámil, že útočníci získali přístup k osobním údajům a záznamům telefonních a textových zpráv zhruba 110 milionů zákazníků. Tento incident dokonce vedl k tomu, že AT&T zaplatil 370 000 dolarů výměnou za slib útočníků, že data smažou.

Dalšími oběťmi byli zákazníci jako Pure Storage, Advance Auto Parts, Los Angeles Unified School District, QuoteWizard/LendingTree, Neiman Marcus, Anheuser-Busch, Allstate, Mitsubishi a State Farm. Incident zasáhl společnosti napříč odvětvími a upozornil na zranitelnosti cloudových úložišť jako kritického bodu v moderním kybernetickém zabezpečení.

Mezinárodní reakce a následky

Podle amerického bezpečnostního experta Briana Krebse je Moucka obviněn z několika trestných činů, nicméně přesné obvinění zůstávají zatím pod utajením. Odborníci očekávají, že další kroky ve vyšetřování a soudní řízení proběhnou v nadcházejících měsících. Tento incident přiměl firmy po celém světě ke zpřísnění bezpečnostních protokolů a znovu upozornil na důležitost vícefaktorové autentizace a pravidelných auditů bezpečnosti dat v rámci SaaS služeb.