Cloudflare heeft onthuld dat het het doelwit was van een waarschijnlijke aanval door een natiestaat, waarbij de bedreigingsacteur gestolen inloggegevens gebruikte om ongeoorloofde toegang te krijgen tot de Atlassian-server en uiteindelijk toegang te krijgen tot bepaalde documentatie en een beperkte hoeveelheid broncode.
De inbraak, die plaatsvond tussen 14 en 24 november 2023 en werd gedetecteerd op 23 november, werd uitgevoerd ‘met als doel aanhoudende en wijdverbreide toegang te verkrijgen tot het wereldwijde netwerk van Cloudflare’, zei het webinfrastructuurbedrijf en omschreef de acteur als ‘ verfijnd” en iemand die “op een doordachte en methodische manier te werk ging.”
Uit voorzorg zei het bedrijf verder dat het meer dan 5.000 productiereferenties had gerouleerd, fysiek gesegmenteerde test- en faseringssystemen had uitgevoerd, forensische triages had uitgevoerd op 4.893 systemen, elke machine in zijn wereldwijde netwerk opnieuw had geimaged en opnieuw had opgestart.
Het incident omvatte een verkenningsperiode van vier dagen om toegang te krijgen tot de Atlassian Confluence- en Jira-portals, waarna de tegenstander een frauduleus Atlassian-gebruikersaccount aanmaakte en permanente toegang tot zijn Atlassian-server tot stand bracht om uiteindelijk toegang te krijgen tot het Bitbucket-broncodebeheersysteem door middel van de Sliver simulatieraamwerk voor tegenstanders.
Er zijn maar liefst 120 codeopslagplaatsen bekeken, waarvan er naar schatting 76 door de aanvaller zijn geëxfiltreerd.
“De 76 broncoderepository’s hadden bijna allemaal te maken met hoe back-ups werken, hoe het wereldwijde netwerk wordt geconfigureerd en beheerd, hoe identiteit werkt bij Cloudflare, externe toegang en ons gebruik van Terraform en Kubernetes”, aldus Cloudflare.
“Een klein aantal van de opslagplaatsen bevatte gecodeerde geheimen die onmiddellijk werden gerouleerd, ook al waren ze zelf sterk gecodeerd.”
De bedreigingsactor zou vervolgens tevergeefs hebben geprobeerd “toegang te krijgen tot een consoleserver die toegang had tot het datacenter dat Cloudflare nog niet in productie had genomen in São Paulo, Brazilië.”
De aanval werd mogelijk gemaakt door gebruik te maken van één toegangstoken en drie serviceaccountreferenties die waren gekoppeld aan Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks en Smartsheet en die werden gestolen na de hack van Okta’s supportcasemanagementsysteem in oktober 2023.
Cloudflare erkende dat het er niet in was geslaagd deze inloggegevens te roteren, in de veronderstelling dat ze ongebruikt waren.
Het bedrijf zei ook dat het stappen heeft ondernomen om op 24 november 2023 alle kwaadaardige verbindingen die afkomstig zijn van de bedreigingsacteur te beëindigen. Het heeft ook cyberbeveiligingsbedrijf CrowdStrike betrokken om een onafhankelijke beoordeling van het incident uit te voeren.
“Het enige productiesysteem waartoe de bedreigingsacteur toegang kon krijgen met behulp van de gestolen inloggegevens was onze Atlassian-omgeving. Bij het analyseren van de wikipagina’s die ze bezochten, problemen met de database met bugs en opslagplaatsen voor broncodes, leek het erop dat ze op zoek waren naar informatie over de architectuur, beveiliging en beheer van ons wereldwijde netwerk”, aldus Cloudflare.
