Cloudflare ha recentemente annunciato di essere stata vittima di un attacco informatico sofisticato, presumibilmente orchestrato da una APT. Durante l’incidente, avvenuto tra il 14 e il 24 novembre 2023 e rilevato il 23 novembre, i criminali informatici sono riusciti a ottenere accesso non autorizzato al server Atlassian dell’azienda, accedendo a documentazione interna e a una quantità limitata di codice sorgente.
Misure Precauzionali e Analisi dell’Attacco
In risposta alla violazione, Cloudflare ha adottato misure precauzionali sostanziali, tra cui la rotazione di oltre 5.000 credenziali di produzione, la segmentazione fisica dei sistemi di test e staging, l’esecuzione di analisi forensi su 4.893 sistemi e il riavvio di ogni macchina nella propria rete globale. L’attacco ha incluso un periodo di ricognizione di quattro giorni per accedere ai portali Atlassian Confluence e Jira, seguito dalla creazione di un account utente Atlassian fasullo e dall’ottenimento di accesso persistente al server Atlassian, per accedere infine al sistema di gestione del codice sorgente Bitbucket tramite il framework di simulazione avversaria Sliver.
Implicazioni e Conseguenze dell’Intrusione
Si stima che l’attaccante abbia visualizzato circa 120 repository di codice, dei quali 76 sarebbero stati esfiltrati. Questi repository erano prevalentemente legati a meccanismi di backup, configurazione e gestione della rete globale, identità aziendale, accesso remoto e all’uso di strumenti come Terraform e Kubernetes. Nonostante una piccola parte dei repository contenesse segreti crittografati, questi sono stati immediatamente ruotati, anche se erano già fortemente crittografati.
L’APT ha inoltre tentato, senza successo, di accedere a un server di console con accesso al data center di Cloudflare a San Paolo, Brasile, ancora non operativo.
Risposta di Cloudflare all’Incidente
L’accesso ottenuto dall’attaccante tramite credenziali rubate, risultate da una precedente violazione del sistema di gestione dei casi di supporto di Okta nell’ottobre 2023, si limitava all’ambiente Atlassian di Cloudflare. L’analisi delle pagine wiki, dei problemi nel database dei bug e dei repository di codice sorgente consultati dall’attaccante suggerisce che fosse alla ricerca di informazioni sull’architettura, sulla sicurezza e sulla gestione della rete globale di Cloudflare.
In seguito all’incidente, Cloudflare ha interrotto tutte le connessioni malevole provenienti dall’attore della minaccia il 24 novembre 2024 e ha collaborato con la società di cybersecurity CrowdStrike per una valutazione indipendente dell’accaduto.