Cloudflare взломан предполагаемым государственным злоумышленником, получившим доступ к исходному коду и внутренним документам

Cloudflare, известная компания по веб-безопасности и сеть доставки контента, недавно раскрыла тревожное нарушение безопасности, организованное предполагаемым спонсируемым государством злоумышленником. Инцидент, раскрытый 23 ноября, был связан с несанкционированным доступом к внутренним системам с помощью украденных учетных данных, первоначально скомпрометированных во время взлома Okta в октябре 2023 года.

Использование украденных учетных данных

Злоумышленник использовал эти учетные данные для проникновения во внутреннюю вики-страницу Cloudflare и базу данных об ошибках, проводя разведывательные мероприятия, начиная с 14 ноября. Несмотря на сегментацию сети, препятствующую доступу к определенным критическим системам, злоумышленникам удалось проникнуть в среду AWS Cloudflare и пакет Atlassian, включая Jira и Confluence.

В пакете Atlassian злоумышленники искали информацию, связанную с сетевой инфраструктурой Cloudflare, сосредоточив внимание на таких ключевых словах, как «удаленный доступ», «секрет» и «токен». Они даже создали постоянную учетную запись Atlassian, чтобы обеспечить постоянный доступ. Кроме того, они развернули Sliver Adversary Emulation Framework для получения дальнейшего доступа и попытались взломать неработающий центр обработки данных в Сан-Паулу, Бразилия.

План быстрых действий Cloudflare

Пока злоумышленники получали доступ к репозиториям исходного кода и загружали их, Cloudflare оперативно отреагировала ротацией зашифрованных секретов и удалением неавторизованных учетных записей. Были реализованы правила брандмауэра для блокировки IP-адресов злоумышленников, а также были приняты обширные меры безопасности, включая повторное создание образа и перезагрузку всех компьютеров в глобальной сети Cloudflare.

Несмотря на тщательное расследование, проведенное Cloudflare и CrowdStrike, не было обнаружено никаких доказательств дальнейшего взлома, помимо систем, к которым был получен доступ. Компания сохраняет бдительность, постоянно совершенствуя меры безопасности, чтобы предотвратить будущие взломы и защитить свою инфраструктуру от сложных угроз.