Attacco informatico ad Cloudflare da presunta APT statale

Cloudflare ha recentemente subito un'incursione di natura cibernetica altamente specializzata, la cui origine si presume essere un'Advanced Persistent Threat (APT) di matrice statale. L'attacco, che si è verificato tra il 14 e il 24 novembre 2023 e identificato il 23 dello stesso mese, ha comportato una violazione dei sistemi Atlassian dell'ente, con conseguente accesso indebito a documenti interni e a porzioni del codice sorgente.

Interventi immediati in risposta all'intrusione

In risposta all'attacco subìto, Cloudflare ha messo in atto contromisure d'emergenza, inclusa la sostituzione di oltre 5.000 credenziali operative e l'isolamento fisico degli ambienti di testing e staging. Un attento esame forense è stata condotta su 4.893 dispositivi, seguita dal riavvio di ogni singola unità nella propria infrastruttura di rete globale. L'impatto iniziale ha visto l'avanzamento di un attacco metodico: la creazione di un account Atlassian illegittimo e l'acquisizione di una presenza duratura all'interno dei server, per poi penetrare nel sistema Bitbucket gestendo il software di simulazione avversaria Sliver.

Valutazione del danno e misure preventive

Secondo le valutazioni, l'aggressore ha avuto accesso visivo a circa 120 repository, procedendo all'esfiltrazione di 76. Questi ultimi includevano dati legati ai processi di backup, configurazione della rete e manutenzione infrastrutturale, nonché identità aziendale e strumenti come Terraform e Kubernetes. Nonostante la presenza di segreti criptati all'interno di alcuni repository, le chiavi crittografiche sono state prontamente aggiornate come misura cautelativa. Va sottolineato che i tentativi di accesso a una console nel data center non operativo di São Paulo da parte dell'APT non hanno avuto esito.

Risposta organizzata di Cloudflare alla compromissione

Il perimetro compromesso dall'APT attraverso credenziali ottenute da una precedente breccia nell'ottobre 2023 nel sistema di gestione dei casi di supporto Okta si limitava all'ecosistema Atlassian di Cloudflare. Analizzando le attività dell'attaccante tra le pagine wiki, le segnalazioni del database di tracciamento bug e i codici sorgente esaminati, emerge un chiaro interesse verso i dettagli architetturali e i meccanismi di sicurezza della rete di Cloudflare. L'organizzazione ha prontamente neutralizzato ogni connessione dannosa il 24 novembre e ha ottenuto il supporto della firma di sicurezza informatica CrowdStrike per un'indagine approfondita sulle modalità di attacco.