Cloudflare ujawnia kod i dokumenty, do których uzyskali dostęp hakerzy w naruszeniu Okta 2023

Firma Cloudflare ujawniła, że doświadczyła prawdopodobnego ataku na szczeblu narodowym, podczas którego osoba zagrażająca wykorzystała skradzione dane uwierzytelniające, aby uzyskać nieautoryzowany dostęp do serwera Atlassian, uzyskując dostęp do części dokumentacji i ograniczonej ilości kodu źródłowego.

Do naruszenia doszło w dniach 14–24 listopada 2023 r., a wykrycie miało miejsce 23 listopada. Cloudflare scharakteryzował aktora jako „wyrafinowanego” działającego w sposób przemyślany i metodyczny w celu uzyskania trwałego i powszechnego dostępu do globalnej sieci firmy.

W ramach środków ostrożności Cloudflare przeprowadziło rotację ponad 5000 danych uwierzytelniających do produkcji, fizycznie segmentowało systemy testowe i pomostowe, przeprowadziło analizę kryminalistyczną 4893 systemów, a także utworzyło ponowny obraz i ponownie uruchomiło każdą maszynę w swojej globalnej sieci.

Podczas incydentu czterodniowy okres rozpoznania pozwolił ugrupowaniu zagrażającemu uzyskać dostęp do portali Atlassian Confluence i Jira. Następnie utworzono fałszywe konto użytkownika Atlassian, ustanawiające stały dostęp do serwera Atlassian i ostatecznie uzyskujące dostęp do systemu zarządzania kodem źródłowym Bitbucket przy użyciu platformy symulacji przeciwnika Sliver.

Repozytoria kodu, do których mają dostęp osoby atakujące

Uzyskano dostęp do około 120 repozytoriów kodu, z czego szacunkowo uważa się, że 76 zostało wydobytych przez osobę atakującą. Repozytoria te dotyczyły przede wszystkim procesów tworzenia kopii zapasowych, globalnej konfiguracji sieci i zarządzania nią, praktyk związanych z tożsamością w Cloudflare, dostępu zdalnego oraz wykorzystania przez firmę Terraform i Kubernetes.

Cloudflare stwierdził, że kilka repozytoriów zawierało zaszyfrowane sekrety, które pomimo silnego szyfrowania zostały szybko zmienione.

Osoba zagrażająca bezskutecznie próbowała uzyskać dostęp do serwera konsolowego połączonego z centrum danych w São Paulo w Brazylii, które nie jest jeszcze w fazie produkcyjnej.

W ataku wykorzystano jeden token dostępu i trzy dane uwierzytelniające konta usług powiązane z Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks i Smartsheet. Te dane uwierzytelniające zostały skradzione w październiku 2023 r. podczas włamania do systemu zarządzania zgłoszeniami pomocy technicznej Okta. Cloudflare przyznało, że nie udało się zmienić tych danych uwierzytelniających, błędnie zakładając, że były one nieużywane.

Firma zakończyła wszystkie szkodliwe połączenia od ugrupowania zagrażającego 24 listopada 2023 r. i zaangażowała firmę CrowdStrike zajmującą się bezpieczeństwem cybernetycznym w celu niezależnej oceny incydentu.