Cloudflare показала, что она была целью вероятной атаки из национальных государств, в ходе которой злоумышленник использовал украденные учетные данные для получения несанкционированного доступа к своему серверу Atlassian и, в конечном итоге, доступа к некоторой документации и ограниченному объему исходного кода.
Вторжение, которое имело место в период с 14 по 24 ноября 2023 года и было обнаружено 23 ноября, было осуществлено "с целью получения постоянного и широкого доступа к глобальной сети Cloudflare", заявила компания веб-инфраструктуры, описав злоумышленника как "изощренного" и того, кто "действовал вдумчиво и методично".
В качестве меры предосторожности компания также заявила, что изменила более 5000 производственных учетных данных, физически сегментировала тестовые и промежуточные системы, провела судебную сортировку 4893 систем, перепрофилировала и перезагрузила каждую машину в своей глобальной сети.
Инцидент включал четырехдневный период разведки для доступа к порталам Atlassian Confluence и Jira, после чего злоумышленник создал поддельную учетную запись пользователя Atlassian и установил постоянный доступ к своему серверу Atlassian, чтобы в конечном итоге получить доступ к системе управления исходным кодом Bitbucket с помощью платформы моделирования Sliver.
Было просмотрено около 120 репозиториев кода, из которых 76, по оценкам, были отфильтрованы злоумышленником.
"Почти все 76 репозиториев исходного кода были связаны с тем, как работают резервные копии, как настраивается и управляется глобальная сеть, как работает идентификация в Cloudflare, удаленный доступ и использование нами Terraform и Kubernetes", - сказали в Cloudflare.
"Небольшое количество репозиториев содержало зашифрованные секреты, которые были немедленно заменены, несмотря на то, что сами они были надежно зашифрованы".
Затем сообщается, что злоумышленник безуспешно пытался "получить доступ к консольному серверу, который имел доступ к центру обработки данных, который Cloudflare еще не запустила в производство в Сан-Паулу, Бразилия".
Атака стала возможной благодаря использованию одного токена доступа и трех учетных данных учетной записи службы, связанных с Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks и Smartsheet, которые были украдены после взлома в октябре 2023 года системы управления обращениями в службу поддержки Okta.
Cloudflare признала, что не смогла изменить эти учетные данные, ошибочно предположив, что они не использовались.
Компания также заявила, что предприняла шаги по прекращению всех вредоносных подключений, исходящих от субъекта угрозы, 24 ноября 2023 года. Она также привлекла фирму по кибербезопасности CrowdStrike для проведения независимой оценки инцидента.
"Единственной производственной системой, к которой злоумышленник мог получить доступ, используя украденные учетные данные, была наша среда Atlassian. Анализируя вики-страницы, к которым они обращались, проблемы с базой данных ошибок и репозиториями исходного кода, похоже, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью ", - сказали в Cloudflare.
Вторжение, которое имело место в период с 14 по 24 ноября 2023 года и было обнаружено 23 ноября, было осуществлено "с целью получения постоянного и широкого доступа к глобальной сети Cloudflare", заявила компания веб-инфраструктуры, описав злоумышленника как "изощренного" и того, кто "действовал вдумчиво и методично".
В качестве меры предосторожности компания также заявила, что изменила более 5000 производственных учетных данных, физически сегментировала тестовые и промежуточные системы, провела судебную сортировку 4893 систем, перепрофилировала и перезагрузила каждую машину в своей глобальной сети.
Инцидент включал четырехдневный период разведки для доступа к порталам Atlassian Confluence и Jira, после чего злоумышленник создал поддельную учетную запись пользователя Atlassian и установил постоянный доступ к своему серверу Atlassian, чтобы в конечном итоге получить доступ к системе управления исходным кодом Bitbucket с помощью платформы моделирования Sliver.
Было просмотрено около 120 репозиториев кода, из которых 76, по оценкам, были отфильтрованы злоумышленником.
"Почти все 76 репозиториев исходного кода были связаны с тем, как работают резервные копии, как настраивается и управляется глобальная сеть, как работает идентификация в Cloudflare, удаленный доступ и использование нами Terraform и Kubernetes", - сказали в Cloudflare.
"Небольшое количество репозиториев содержало зашифрованные секреты, которые были немедленно заменены, несмотря на то, что сами они были надежно зашифрованы".
Затем сообщается, что злоумышленник безуспешно пытался "получить доступ к консольному серверу, который имел доступ к центру обработки данных, который Cloudflare еще не запустила в производство в Сан-Паулу, Бразилия".
Атака стала возможной благодаря использованию одного токена доступа и трех учетных данных учетной записи службы, связанных с Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks и Smartsheet, которые были украдены после взлома в октябре 2023 года системы управления обращениями в службу поддержки Okta.
Cloudflare признала, что не смогла изменить эти учетные данные, ошибочно предположив, что они не использовались.
Компания также заявила, что предприняла шаги по прекращению всех вредоносных подключений, исходящих от субъекта угрозы, 24 ноября 2023 года. Она также привлекла фирму по кибербезопасности CrowdStrike для проведения независимой оценки инцидента.
"Единственной производственной системой, к которой злоумышленник мог получить доступ, используя украденные учетные данные, была наша среда Atlassian. Анализируя вики-страницы, к которым они обращались, проблемы с базой данных ошибок и репозиториями исходного кода, похоже, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью ", - сказали в Cloudflare.
