Cloudflare раскрывает код и документы, к которым хакеры получили доступ в 2023 году Okta Breach

Cloudflare сообщила, что подверглась вероятной атаке на национальном уровне, в ходе которой злоумышленник использовал украденные учетные данные для несанкционированного доступа к своему серверу Atlassian, получив доступ к некоторой документации и ограниченному количеству исходного кода.

Нарушение произошло с 14 по 24 ноября 2023 года, а было обнаружено 23 ноября. Cloudflare охарактеризовала злоумышленника как «сложного», действующего с продуманным и методичным подходом для достижения постоянного и широкого доступа к глобальной сети компании.

В качестве меры предосторожности Cloudflare заменила более 5000 производственных учетных данных, физически сегментировала тестовые и промежуточные системы, провела судебно-медицинскую экспертизу 4893 систем, а также переобразила и перезагрузила каждую машину в своей глобальной сети.

Во время инцидента четырехдневный период разведки позволил злоумышленнику получить доступ к порталам Atlassian Confluence и Jira. Впоследствии была создана мошенническая учетная запись пользователя Atlassian, которая обеспечила постоянный доступ к серверу Atlassian и, в конечном итоге, получила доступ к системе управления исходным кодом Bitbucket с использованием системы моделирования злоумышленников Sliver.

Репозитории кода, к которым получили доступ злоумышленники

Был получен доступ примерно к 120 репозиториям кода, из которых, по оценкам, 76 были похищены злоумышленником. Эти репозитории в основном относились к процессам резервного копирования, конфигурации и управлению глобальной сетью, методам идентификации в Cloudflare, удаленному доступу и использованию компанией Terraform и Kubernetes.

Cloudflare заявила, что несколько репозиториев содержали зашифрованные секреты, которые были быстро заменены, несмотря на их надежное шифрование.

Злоумышленник безуспешно попытался получить доступ к консольному серверу, связанному с центром обработки данных в Сан-Паулу, Бразилия, который еще не запущен в эксплуатацию.

В ходе атаки использовался один токен доступа и три учетные данные сервисной учетной записи, связанные с Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks и Smartsheet. Эти учетные данные были украдены в октябре 2023 года во время взлома системы управления обращениями в службу поддержки Okta. Cloudflare признал, что не удалось выполнить ротацию этих учетных данных, ошибочно предположив, что они не использовались.

24 ноября 2023 года компания прервала все вредоносные соединения со стороны злоумышленника и привлекла фирму по кибербезопасности CrowdStrike для независимой оценки инцидента.