Cloudflare rivela codici e documenti a cui hanno avuto accesso gli hacker nella violazione di Okta del 2023

Cloudflare ha rivelato di aver subito un probabile attacco da parte di uno stato-nazione, in cui l'autore della minaccia ha utilizzato credenziali rubate per ottenere un accesso non autorizzato al suo server Atlassian, ottenendo l'accesso ad alcuni documenti e a una quantità limitata di codice sorgente.

La violazione si è verificata dal 14 al 24 novembre 2023, con rilevamento il 23 novembre. Cloudflare ha definito l'attore "sofisticato", che opera con un approccio deliberato e metodico per ottenere un accesso persistente e diffuso alla rete globale dell'azienda.

Come misura precauzionale, Cloudflare ha ruotato oltre 5.000 credenziali di produzione, ha segmentato fisicamente i sistemi di test e staging, ha condotto triage forensi su 4.893 sistemi e ha reimmaginato e riavviato ogni macchina nella sua rete globale.

Durante l'incidente, un periodo di ricognizione di quattro giorni ha consentito all'autore della minaccia di accedere ai portali Atlassian Confluence e Jira. Successivamente, è stato creato un account utente Atlassian non autorizzato, stabilendo un accesso permanente al server Atlassian e infine ottenendo l'accesso al sistema di gestione del codice sorgente Bitbucket utilizzando il framework di simulazione dell'avversario Sliver.

Repository di codice a cui accedono gli aggressori

È stato effettuato l'accesso a circa 120 repository di codici, di cui circa 76 ritenuti essere stati esfiltrati dall'aggressore. Questi repository riguardavano principalmente processi di backup, configurazione e gestione della rete globale, pratiche di identità su Cloudflare, accesso remoto e utilizzo da parte dell'azienda di Terraform e Kubernetes.

Cloudflare ha affermato che alcuni repository contenevano segreti crittografati, che venivano prontamente ruotati nonostante la loro potente crittografia.

L'autore della minaccia ha tentato senza successo di accedere a un server console collegato a un data center a San Paolo, in Brasile, non ancora in produzione.

L'attacco ha sfruttato un token di accesso e tre credenziali di account di servizio associati ad Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks e Smartsheet. Queste credenziali sono state rubate nell'ottobre 2023 durante l'hacking del sistema di gestione dei casi di supporto di Okta. Cloudflare ha riconosciuto la mancata rotazione di queste credenziali, presumendo erroneamente che fossero inutilizzate.

L'azienda ha interrotto tutte le connessioni dannose dell'autore della minaccia il 24 novembre 2023 e ha incaricato la società di sicurezza informatica CrowdStrike di effettuare una valutazione indipendente dell'incidente.