1. Обзор атаки
Между 14 и 24 ноября 2023 года.CloudflareНарушение безопасности и аномалия были обнаружены 23 ноября. Целью вторжения было предоставление "устойчивого и широкомасштабного доступа к глобальной сети Cloudflare", и компания описала злоумышленников как "искушенных и профессиональных", действовавших "тщательно и организованно". В компании назвали злоумышленников "изощренными и профессиональными", действовавшими "скрупулезно и организованно".
2. Подробности действий атакующего
После четырех дней разведки порталов Atlassian Confluence и Jira злоумышленники создали вредоносную учетную запись пользователя Atlassian и установили постоянный доступ к серверу с помощью фреймворка эмуляции Sliver, в итоге получив доступ через систему управления исходным кодом Bitbucket.
3. Аварийное реагирование в Cloudflare
Cloudflare приняла превентивные меры, в том числе запустила более 5 000 производственных учетных данных, физически изолировала проверенные и сегментированные системы, провела криминалистический анализ 4 893 систем, повторно создала образ и перезагрузила все машины в глобальной сети.
4. Масштаб атаки
По оценкам, злоумышленники просмотрели до 120 репозиториев кода, 76 из которых, как считается, были украдены. Cloudflare заявила, что почти все эти репозитории исходного кода были связаны с операциями резервного копирования, настройкой и управлением глобальной сетью, механизмами аутентификации Cloudflare, удаленным доступом, а также использованием Terraform и Kubernetes.
5. Контрмеры и повышение уровня безопасности
Cloudflare признала, что по недосмотру прокрутила указанные учетные данные, ошибочно полагая, что они не используются. Компания также заявила, что 24 ноября 2023 года отключила все вредоносные соединения от угрожающих субъектов, и предложилаинформационная безопасностьфирмыCrowdStrikeПроведите независимую оценку.
6. анализ целей и поведения атакующего
Согласно анализу Cloudflare, единственной производственной системой, к которой злоумышленник смог получить доступ, используя украденные учетные данные, была среда Atlassian. Анализ вики-страниц, проблем с базой данных ошибок и репозиториев исходного кода, к которым получили доступ злоумышленники, показал, что они искали информацию об архитектуре, безопасности и управлении глобальной сетью Cloudflare.
7. меры по расследованию и утилизации
Злоумышленники также пытались получить доступ к консольному серверу, который имеет доступ к одному из еще не запущенных в эксплуатацию центров обработки данных Cloudflare в Сан-Паулу, Бразилия. Атака стала возможной благодаря использованию токена доступа и трех учетных данных учетных записей служб, связанных с AWS, Atlassian Bitbucket, Moveworks и Smartsheet, которые были похищены в октябре 2023 года после взлома системы управления делами службы поддержки Okta.
Cloudflare предприняла ряд технических мер по повышению безопасности, чтобы гарантировать, что угрожающие лица не смогут повторно получить доступ к системам компании, и продолжает расследование, чтобы убедиться в отсутствии наследий постоянного доступа.
В данном случае, хотя доступ к оборудованию в центре обработки данных в Сан-Паулу не был получен, компания вернула его производителю для проверки и заменила оборудование, чтобы обеспечить безопасность системы.
Углубленные исследования, проведенные Cloudflare и CrowdStrike, показали, что деятельность угрожающего субъекта ограничивалась наблюдаемыми системами, и у компании не было доказательств доступа к глобальной сети, базам данных клиентов, конфигурационной информации, центрам обработки данных, SSL-ключам, развертыванию Workers у клиентов или любой другой информации за пределами пакета и серверов Atlassian.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/cloudflare-hacker-group-attacks-threats.html.
