Cloudflare provalio osumnjičeni prijetnja sponzoriran od države pristupajući izvornom kodu i internim dokumentima

Cloudflare, dobro poznata tvrtka za web sigurnost i mreža za isporuku sadržaja, nedavno je otkrila zabrinjavajuću sigurnosnu provalu koju je orkestrirao osumnjičeni akter prijetnje sponzoriran od države. Incident, otkriven 23. studenog, uključivao je neovlašteni pristup internim sustavima putem ukradenih vjerodajnica, prvobitno ugroženih tijekom hakiranja Okte u listopadu 2023.

Iskorištavanje ukradenih vjerodajnica

Glumac prijetnje iskoristio je ove vjerodajnice za infiltraciju u Cloudflareov interni wiki i bazu podataka o greškama, provodeći aktivnosti izviđanja počevši od 14. studenog. Unatoč segmentaciji mreže koja ometa pristup određenim kritičnim sustavima, napadači su uspjeli prodrijeti u Cloudflareovo AWS okruženje i Atlassian paket, uključujući Jira i Confluence.

Unutar paketa Atlassian, napadači su tražili informacije vezane uz mrežnu infrastrukturu Cloudflarea, fokusirajući se na ključne riječi poput "daljinski pristup", "tajno" i "token". Čak su izradili trajni Atlassian račun kako bi osigurali stalni pristup. Osim toga, postavili su Sliver Adversary Emulation Framework kako bi dobili daljnji pristup i pokušali provaliti u neoperativni podatkovni centar u São Paulu, Brazil.

Cloudflareov brzi akcijski plan

Dok su napadači pristupali i preuzimali repozitorije izvornog koda, Cloudflare je promptno reagirao rotiranjem šifriranih tajni i ukidanjem neovlaštenih računa. Implementirana su pravila vatrozida za blokiranje IP adresa napadača, a poduzete su i opsežne sigurnosne mjere, uključujući reimaging i ponovno pokretanje svih strojeva unutar Cloudflareove globalne mreže.

Unatoč temeljitoj istrazi koju su proveli Cloudflare i CrowdStrike, nikakvi dokazi ne upućuju na daljnju kompromitaciju izvan pristupanih sustava. Tvrtka je i dalje na oprezu, neprestano poboljšavajući svoje sigurnosne mjere kako bi spriječila buduće provale i zaštitila svoju infrastrukturu od sofisticiranih prijetnji.