Cloudflare gibt bekannt, dass Hacker im Okta-Verstoß im Jahr 2023 auf Code und Dokumente zugegriffen haben

Cloudflare hat bekannt gegeben, dass es sich wahrscheinlich um einen Angriff eines Nationalstaats handelte, bei dem der Bedrohungsakteur gestohlene Zugangsdaten nutzte, um sich unbefugten Zugang zu seinem Atlassian-Server zu verschaffen und sich Zugriff auf einige Dokumentationen und eine begrenzte Menge an Quellcode zu verschaffen.

Der Verstoß ereignete sich vom 14. bis 24. November 2023 und wurde am 23. November entdeckt. Cloudflare charakterisierte den Akteur als „raffiniert“, der mit einem bewussten und methodischen Ansatz vorging, um dauerhaften und weitreichenden Zugriff auf das globale Netzwerk des Unternehmens zu erreichen.

Als Vorsichtsmaßnahme rotierte Cloudflare über 5.000 Produktionsanmeldeinformationen, segmentierte Test- und Stagingsysteme physisch, führte forensische Untersuchungen auf 4.893 Systemen durch und erstellte ein neues Image und startete jede Maschine in seinem globalen Netzwerk neu.

Während des Vorfalls ermöglichte eine viertägige Aufklärungsphase dem Bedrohungsakteur den Zugriff auf die Portale Atlassian Confluence und Jira. Anschließend wurde ein betrügerisches Atlassian-Benutzerkonto erstellt, das dauerhaften Zugriff auf den Atlassian-Server herstellte und sich schließlich mithilfe des Sliver-Angreifersimulationsframeworks Zugriff auf das Bitbucket-Quellcodeverwaltungssystem verschaffte.

Code-Repositories, auf die Angreifer zugreifen

Es wurde auf etwa 120 Code-Repositories zugegriffen, von denen schätzungsweise 76 vermutlich vom Angreifer exfiltriert wurden. Diese Repositorys betrafen in erster Linie Backup-Prozesse, globale Netzwerkkonfiguration und -verwaltung, Identitätspraktiken bei Cloudflare, Fernzugriff und die Nutzung von Terraform und Kubernetes durch das Unternehmen.

Cloudflare gab an, dass einige Repositories verschlüsselte Geheimnisse enthielten, die trotz ihrer starken Verschlüsselung umgehend rotiert wurden.

Der Bedrohungsakteur versuchte erfolglos, auf einen Konsolenserver zuzugreifen, der mit einem noch nicht produktiven Rechenzentrum in São Paulo, Brasilien, verbunden war.

Bei dem Angriff wurden ein Zugriffstoken und drei Anmeldeinformationen für Dienstkonten ausgenutzt, die mit Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks und Smartsheet verknüpft sind. Diese Zugangsdaten wurden im Oktober 2023 beim Hack des Support-Case-Management-Systems von Okta gestohlen. Cloudflare räumte ein, dass diese Anmeldeinformationen nicht rotiert wurden, und ging fälschlicherweise davon aus, dass sie nicht verwendet wurden.

Das Unternehmen beendete am 24. November 2023 alle böswilligen Verbindungen des Bedrohungsakteurs und beauftragte das Cybersicherheitsunternehmen CrowdStrike mit einer unabhängigen Bewertung des Vorfalls.