AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Attacco informatico ad Cloudflare da presunta APT statale

Intervento di emergenza e indagine sulle operazioni di una APT contro il gigante della sicurezza in rete

Cloudflare ha subito un attacco cibernetico avanzato che ha violato i suoi sistemi Atlassian, con furto di documenti e codice sorgente. Hanno reagito sostituendo credenziali e isolando sistemi.

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

This pill is also available in English language

Cloudflare ha recentemente subito un'incursione di natura cibernetica altamente specializzata, la cui origine si presume essere un'Advanced Persistent Threat (APT) di matrice statale. L'attacco, che si è verificato tra il 14 e il 24 novembre 2023 e identificato il 23 dello stesso mese, ha comportato una violazione dei sistemi Atlassian dell'ente, con conseguente accesso indebito a documenti interni e a porzioni del codice sorgente.

Interventi immediati in risposta all'intrusione

In risposta all'attacco subìto, Cloudflare ha messo in atto contromisure d'emergenza, inclusa la sostituzione di oltre 5.000 credenziali operative e l'isolamento fisico degli ambienti di testing e staging. Un attento esame forense è stata condotta su 4.893 dispositivi, seguita dal riavvio di ogni singola unità nella propria infrastruttura di rete globale. L'impatto iniziale ha visto l'avanzamento di un attacco metodico: la creazione di un account Atlassian illegittimo e l'acquisizione di una presenza duratura all'interno dei server, per poi penetrare nel sistema Bitbucket gestendo il software di simulazione avversaria Sliver.

Valutazione del danno e misure preventive

Secondo le valutazioni, l'aggressore ha avuto accesso visivo a circa 120 repository, procedendo all'esfiltrazione di 76. Questi ultimi includevano dati legati ai processi di backup, configurazione della rete e manutenzione infrastrutturale, nonché identità aziendale e strumenti come Terraform e Kubernetes. Nonostante la presenza di segreti criptati all'interno di alcuni repository, le chiavi crittografiche sono state prontamente aggiornate come misura cautelativa. Va sottolineato che i tentativi di accesso a una console nel data center non operativo di São Paulo da parte dell'APT non hanno avuto esito.

Risposta organizzata di Cloudflare alla compromissione

Il perimetro compromesso dall'APT attraverso credenziali ottenute da una precedente breccia nell'ottobre 2023 nel sistema di gestione dei casi di supporto Okta si limitava all'ecosistema Atlassian di Cloudflare. Analizzando le attività dell'attaccante tra le pagine wiki, le segnalazioni del database di tracciamento bug e i codici sorgente esaminati, emerge un chiaro interesse verso i dettagli architetturali e i meccanismi di sicurezza della rete di Cloudflare. L'organizzazione ha prontamente neutralizzato ogni connessione dannosa il 24 novembre e ha ottenuto il supporto della firma di sicurezza informatica CrowdStrike per un'indagine approfondita sulle modalità di attacco.

Follow us on Facebook for more pills like this

02/04/2024 22:08

Editorial AI

Last pills

LockBit's response to FBI actionsLockBit's technological revenge: post-attack updates and awareness

LockBit's tenacious activity despite global investigationsChallenges and countermeasures in the war against the LockBit cyber criminal group

Avast fined for illegitimate sale of web dataFines and restrictions imposed on cybersecurity company for misuse of personal data

KeyTrap: DNSSEC flaw discovered by researchersThe vulnerability puts the stability of DNSSEC at risk