Cloudflare рассказала о последствиях октябрьской атаки на крупного поставщика систем управления доступом и идентификацией, компанию Okta. Хакеры, похитившие токены доступа Cloudflare, успешно взломали ее внутренний сервер Atlassian, wiki Confluence, БД багов Jira, также систему управления исходным кодом Bitbucket.
Сообщается, что впервые злоумышленники получили доступ к self-hosted серверу Atlassian 14 ноября 2023 года, а затем, после проведения разведки, проникли в Сonfluence и Jira.
«Они вернулись 22 ноября и закрепились на нашем сервере Atlassian, используя ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безуспешно попытались получить доступ к консольному серверу, который имел доступ к еще не запущенному дата-центру Cloudflare в Бразилии», — рассказывают глава Cloudflare Мэтью Принс (Matthew Prince), технический директор Джон Грэм-Камминг (John Graham-Cumming) и директор по информационной безопасности Грант Бурзикас (Grant Bourzikas).
Для доступа к системам компании злоумышленники использовали один токен доступа и учетные данные трех сервисных аккаунтов, украденные во время упомянутого выше взлома компании Okta в октябре 2023 года.
Cloudflare сообщает, что обнаружила вредоносную активность в своих системах 23 ноября 2023 года, заблокировала хакера утром 24 ноября, и после ИБ-специалисты компании начали расследование инцидента.
В ходе расследования сотрудники Cloudflare сменили все учетные данные (более 5000), физически разделили тестовые и рабочие системы, провели экспертизу 4893 систем, восстановили и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket), а также машины, к которым получил доступ атакующий.
Отдельно отмечается, что все оборудование в бразильском дата-центре Cloudflare, который еще не введен в строй, было временно возвращено производителям, чтобы убедиться, что дата-центр не пострадал во время атаки.
Фактически устранение последствий атаки завершилось только 5 января 2024 года, однако в компании утверждают, что ее сотрудники до сих пор работают над усилением ПО, а также над управлением учетными данными и уязвимостями.
По словам представителей компании, этот взлом не затронул данные и системы клиентов Cloudflare, ее сервисы, глобальные сетевые системы и конфигурации.
«Хотя по нашим оценкам, операционное влияние этого инцидента было крайне ограниченным, мы отнеслись к нему очень серьезно, поскольку злоумышленники использовали украденные учетные данные для получения доступа к нашему серверу Atlassian и получили доступ к определенной документации и ограниченному количеству исходного кода, — заявляют в компании.
Основываясь на нашем взаимодействии с коллегами в отрасли и правительстве, мы считаем, что эта атака была совершена правительственными хакерами с целью получения постоянного и масштабного доступа к глобальной сети Cloudflare.
Анализируя wiki-страницы, БД ошибок и репозитории исходного кода, к которым обращались злоумышленники, можно сделать вывод, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью, несомненно стремясь закрепиться в ней».
Напомним, что в ходе октябрьской атаки на Okta хакеры получили к данным всех клиентов компании. Тогда атакующие использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты Okta загружали в систему поддержки.
В частности, в руки атакующих попали файлы HTTP Archive (HAR), которые нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем. Эти файлы могли содержать конфиденциальные данные, включая cookies и токены сеансов, которе в итоге могли использоваться хакерами для захвата учетных записей клиентов Okta.
Известно, что помимо Cloudflare среди пострадавших были такие крупные компании, как BeyondTrust, специализирующаяся на управлении идентификацией, и менеджер паролей 1Password.