Naruszenie Cloudflare przez podejrzanego uczestnika ataku sponsorowanego przez państwo uzyskującego dostęp do kodu źródłowego i dokumentów wewnętrznych

Cloudflare, znana firma zajmująca się bezpieczeństwem sieciowym i siecią dostarczania treści, ujawniła niedawno niepokojące naruszenie bezpieczeństwa zaaranżowane przez podejrzanego sponsorowanego przez państwo ugrupowania zagrażającego. Incydent, ujawniony 23 listopada, dotyczył nieautoryzowanego dostępu do systemów wewnętrznych za pomocą skradzionych danych uwierzytelniających, pierwotnie naruszonych podczas włamania Okta w październiku 2023 r.

Wykorzystywanie skradzionych danych uwierzytelniających

Osoba zagrażająca wykorzystała te dane uwierzytelniające do infiltracji wewnętrznej wiki i bazy danych błędów Cloudflare, prowadząc działania rozpoznawcze począwszy od 14 listopada. Pomimo segmentacji sieci utrudniającej dostęp do niektórych krytycznych systemów, atakującym udało się przeniknąć do środowiska AWS Cloudflare i pakietu Atlassian, w tym Jira i Confluence.

W pakiecie Atlassian napastnicy przeszukiwali informacje związane z infrastrukturą sieciową Cloudflare, koncentrując się na słowach kluczowych takich jak „dostęp zdalny”, „tajne” i „token”. Utworzyli nawet trwałe konto Atlassian, aby zapewnić ciągły dostęp. Ponadto wdrożyli platformę Sliver Adversary Emulation Framework, aby uzyskać dalszy dostęp, i podjęli próbę włamania się do niedziałającego centrum danych w São Paulo w Brazylii.

Szybki plan działania Cloudflare

Podczas gdy napastnicy uzyskali dostęp do repozytoriów kodu źródłowego i je pobrali, Cloudflare natychmiast zareagowała, obracając zaszyfrowane sekrety i zamykając nieautoryzowane konta. Wdrożono reguły zapory sieciowej w celu blokowania adresów IP atakujących i podjęto szeroko zakrojone środki bezpieczeństwa, w tym ponowne utworzenie obrazu i ponowne uruchomienie wszystkich maszyn w globalnej sieci Cloudflare.

Pomimo dokładnego dochodzenia przeprowadzonego przez Cloudflare i CrowdStrike, żadne dowody nie sugerowały dalszych kompromisów poza systemami, do których uzyskano dostęp. Firma pozostaje czujna, stale ulepszając swoje środki bezpieczeństwa, aby zapobiegać przyszłym naruszeniom i chronić swoją infrastrukturę przed wyrafinowanymi zagrożeniami.