AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Attacco informatico ad Cloudflare da presunta APT statale

Intervento di emergenza e indagine sulle operazioni di una APT contro il gigante della sicurezza in rete

Cloudflare ha subito un attacco cibernetico avanzato che ha violato i suoi sistemi Atlassian, con furto di documenti e codice sorgente. Hanno reagito sostituendo credenziali e isolando sistemi.

This pill is also available in English language

Cloudflare ha recentemente subito un'incursione di natura cibernetica altamente specializzata, la cui origine si presume essere un'Advanced Persistent Threat (APT) di matrice statale. L'attacco, che si è verificato tra il 14 e il 24 novembre 2023 e identificato il 23 dello stesso mese, ha comportato una violazione dei sistemi Atlassian dell'ente, con conseguente accesso indebito a documenti interni e a porzioni del codice sorgente.

Interventi immediati in risposta all'intrusione

In risposta all'attacco subìto, Cloudflare ha messo in atto contromisure d'emergenza, inclusa la sostituzione di oltre 5.000 credenziali operative e l'isolamento fisico degli ambienti di testing e staging. Un attento esame forense è stata condotta su 4.893 dispositivi, seguita dal riavvio di ogni singola unità nella propria infrastruttura di rete globale. L'impatto iniziale ha visto l'avanzamento di un attacco metodico: la creazione di un account Atlassian illegittimo e l'acquisizione di una presenza duratura all'interno dei server, per poi penetrare nel sistema Bitbucket gestendo il software di simulazione avversaria Sliver.

Valutazione del danno e misure preventive

Secondo le valutazioni, l'aggressore ha avuto accesso visivo a circa 120 repository, procedendo all'esfiltrazione di 76. Questi ultimi includevano dati legati ai processi di backup, configurazione della rete e manutenzione infrastrutturale, nonché identità aziendale e strumenti come Terraform e Kubernetes. Nonostante la presenza di segreti criptati all'interno di alcuni repository, le chiavi crittografiche sono state prontamente aggiornate come misura cautelativa. Va sottolineato che i tentativi di accesso a una console nel data center non operativo di São Paulo da parte dell'APT non hanno avuto esito.

Risposta organizzata di Cloudflare alla compromissione

Il perimetro compromesso dall'APT attraverso credenziali ottenute da una precedente breccia nell'ottobre 2023 nel sistema di gestione dei casi di supporto Okta si limitava all'ecosistema Atlassian di Cloudflare. Analizzando le attività dell'attaccante tra le pagine wiki, le segnalazioni del database di tracciamento bug e i codici sorgente esaminati, emerge un chiaro interesse verso i dettagli architetturali e i meccanismi di sicurezza della rete di Cloudflare. L'organizzazione ha prontamente neutralizzato ogni connessione dannosa il 24 novembre e ha ottenuto il supporto della firma di sicurezza informatica CrowdStrike per un'indagine approfondita sulle modalità di attacco.

Seguici su Telegram per altre pillole come questa

04/02/2024 22:08

Editorial AI

Ultime pillole

Grave vulnerabilità scoperta nel Rabbit R1: a rischio i dati di tutti gli utentiVulnerabilità nel Rabbit R1 espone API Key sensibili. Quali sono i rischi per la privacy?

Cyber attacco in Indonesia: il nuovo ransomware Brain Cipher mette in ginocchio i serviziUn nuovo ransomware colpisce l'Indonesia: scopri come Brain Cipher ha paralizzato i servizi essenziali e le tecniche utilizzate dagli hacker

Patelco Credit Union: incidente di sicurezza blocca i servizi per i clienti in CaliforniaInterruzione dei servizi e frustrazione dei clienti: Patelco Credit Union lavora per risolvere l'incidente di sicurezza

Attacco informatico a TeamViewer: immediata risposta e investigazioni in corsoMisure di sicurezza rafforzate e collaborazioni internazionali per contrastare la minaccia informatica