AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Attacco informatico ad Cloudflare da presunta APT statale

Intervento di emergenza e indagine sulle operazioni di una APT contro il gigante della sicurezza in rete

Cloudflare ha subito un attacco cibernetico avanzato che ha violato i suoi sistemi Atlassian, con furto di documenti e codice sorgente. Hanno reagito sostituendo credenziali e isolando sistemi.

Contribuisci a diffondere la cultura della prevenzione!
Sostieni la nostra causa con una piccola donazione aiutandoci a sensibilizzare utenti e aziende sulle minacce informatiche e sulle soluzioni di difesa.

This pill is also available in English language

Cloudflare ha recentemente subito un'incursione di natura cibernetica altamente specializzata, la cui origine si presume essere un'Advanced Persistent Threat (APT) di matrice statale. L'attacco, che si è verificato tra il 14 e il 24 novembre 2023 e identificato il 23 dello stesso mese, ha comportato una violazione dei sistemi Atlassian dell'ente, con conseguente accesso indebito a documenti interni e a porzioni del codice sorgente.

Interventi immediati in risposta all'intrusione

In risposta all'attacco subìto, Cloudflare ha messo in atto contromisure d'emergenza, inclusa la sostituzione di oltre 5.000 credenziali operative e l'isolamento fisico degli ambienti di testing e staging. Un attento esame forense è stata condotta su 4.893 dispositivi, seguita dal riavvio di ogni singola unità nella propria infrastruttura di rete globale. L'impatto iniziale ha visto l'avanzamento di un attacco metodico: la creazione di un account Atlassian illegittimo e l'acquisizione di una presenza duratura all'interno dei server, per poi penetrare nel sistema Bitbucket gestendo il software di simulazione avversaria Sliver.

Valutazione del danno e misure preventive

Secondo le valutazioni, l'aggressore ha avuto accesso visivo a circa 120 repository, procedendo all'esfiltrazione di 76. Questi ultimi includevano dati legati ai processi di backup, configurazione della rete e manutenzione infrastrutturale, nonché identità aziendale e strumenti come Terraform e Kubernetes. Nonostante la presenza di segreti criptati all'interno di alcuni repository, le chiavi crittografiche sono state prontamente aggiornate come misura cautelativa. Va sottolineato che i tentativi di accesso a una console nel data center non operativo di São Paulo da parte dell'APT non hanno avuto esito.

Risposta organizzata di Cloudflare alla compromissione

Il perimetro compromesso dall'APT attraverso credenziali ottenute da una precedente breccia nell'ottobre 2023 nel sistema di gestione dei casi di supporto Okta si limitava all'ecosistema Atlassian di Cloudflare. Analizzando le attività dell'attaccante tra le pagine wiki, le segnalazioni del database di tracciamento bug e i codici sorgente esaminati, emerge un chiaro interesse verso i dettagli architetturali e i meccanismi di sicurezza della rete di Cloudflare. L'organizzazione ha prontamente neutralizzato ogni connessione dannosa il 24 novembre e ha ottenuto il supporto della firma di sicurezza informatica CrowdStrike per un'indagine approfondita sulle modalità di attacco.

Seguici su Telegram per altre pillole come questa

04/02/2024 22:08

Editorial AI

Ultime pillole

La tenace attività di LockBit malgrado le indagini globaliSfide e contromisure nella guerra al grupo cyber criminale LockBit

Avast sanzionata per vendita illegittima di dati webMulte e restrizioni imposte alla società di sicurezza informatica per uso scorretto di dati personali

KeyTrap: falla DNSSEC individuata da ricercatoriLa vulnerabilità mette a rischio la stabilità del DNSSEC

Patto tra aziende tecnologiche contro la manipolazione elettoraleIniziativa congiunta nel settore tecnologico per preservare l'integrità del voto democratico