Cloudflaren rikkominen: epäilty valtion tukema uhkatoimija käyttää lähdekoodia ja sisäisiä asiakirjoja

Cloudflare, tunnettu verkkoturvayritys ja sisällönjakeluverkko, paljasti äskettäin valtion tukeman epäillyn uhkatoimijan järjestämän tietoturvaloukkauksen. Tapaukseen, joka paljastettiin 23. marraskuuta, sisältyi luvaton pääsy sisäisiin järjestelmiin varastettujen valtuustietojen kautta, jotka alun perin vaarantuivat lokakuun 2023 Okta-hakkeroinnin aikana.

Varastettujen valtuustietojen hyödyntäminen

Uhkatoimija käytti näitä valtuustietoja soluttautuakseen Cloudflaren sisäiseen wiki- ja virhetietokantaan ja suoritti tiedustelutoimia 14. marraskuuta alkaen. Huolimatta verkon segmentoinnista, joka esti pääsyä tiettyihin kriittisiin järjestelmiin, hyökkääjät onnistuivat tunkeutumaan Cloudflaren AWS-ympäristöön ja Atlassian-ohjelmistoon, mukaan lukien Jira ja Confluence.

Atlassian-sarjan sisällä hyökkääjät etsivät Cloudflaren verkkoinfrastruktuuriin liittyviä tietoja keskittyen avainsanoihin, kuten "etäkäyttö", "salainen" ja "tunnus". He jopa loivat pysyvän Atlassian-tilin varmistaakseen jatkuvan pääsyn. Lisäksi he ottivat käyttöön Sliver Adversary Emulation Frameworkin saadakseen lisää pääsyä ja yrittivät murtautua ei-toimivaan datakeskukseen São Paulossa, Brasiliassa.

Cloudflaren nopea toimintasuunnitelma

Kun hyökkääjät käyttivät ja latasivat lähdekoodivarastoja, Cloudflare vastasi nopeasti kiertämällä salattuja salaisuuksia ja lopettamalla luvattomat tilit. Palomuurisäännöt otettiin käyttöön hyökkääjien IP-osoitteiden estämiseksi, ja laajoja turvatoimenpiteitä toteutettiin, mukaan lukien kaikkien Cloudflaren maailmanlaajuisen verkon koneiden uudelleenkuvaus ja uudelleenkäynnistys.

Huolimatta Cloudflaren ja CrowdStriken perusteellisesta tutkimuksesta, mikään todiste ei viittaa lisäkompromissiin käytettyjen järjestelmien ulkopuolella. Yhtiö pysyy valppaana ja parantaa jatkuvasti turvatoimiaan estääkseen tulevat tietomurrot ja turvatakseen infrastruktuurinsa kehittyneiltä uhilta.