Хакеры получили доступ к исходному коду Cloudflare Компания Cloudflare сообщила
Хакеры получили доступ к исходному коду Cloudflare Компания Cloudflare сообщила
Хакеры получили доступ к исходному коду Cloudflare
Компания Cloudflare сообщила, что стала мишенью вероятной атаки со стороны прогосударственных хакеров, не уточнив, какое именно государство на нее напало. Согласно отчету, злоумышленники использовали украденные учетные данные для получения несанкционированного доступа к своему серверу Atlassian и, в конечном итоге, к некоторой документации и ограниченному количеству исходного кода.
Кибератака произошла в ноябре 2023 года. Неизвестные пытались получить «постоянный и широкий доступ к глобальной сети Cloudflare», заявила компания, отметив, что злоумышленники «действовали вдумчиво и методично».
Компания сообщает, что заменила более 5000 производственных учетных данных, физически сегментировала системы тестирования и подготовки, проверила 4893 систем и перезагрузила каждую машину в своей глобальной сети.
Расследование показало, что сначала киберпреступники на протяжение четырех дней проводили разведку для доступа к порталам Atlassian Confluence и Jira. Затем хакеры создали мошенническую учетную запись пользователя Atlassian и установил постоянный доступ к своему серверу Atlassian. В конечном итоге нападавшие получили доступ к системе управления исходным кодом Bitbucket с помощью системы моделирования противника Sliver.
По оценкам Cloudflare, злоумышленник заполучил 76 хранилищ кода.
«Почти все 76 репозиториев исходного кода были связаны с тем, как работает резервное копирование, как настраивается и управляется глобальная сеть, как работает идентификация в Cloudflare, удаленный доступ и использование нами Terraform и Kubernetes, — уточняет компания. — Небольшое количество репозиториев содержало зашифрованные секреты, которые были немедленно заменены, хотя сами они были надежно зашифрованы».
Cloudflare полагает, что злоумышленники искали информацию об архитектуре, безопасности и управлении глобальной сети компании. Также сообщается, что хакеры безуспешно пытались получить доступ к консольному серверу, имевшему доступ к центру обработки данных в Сан-Паулу (Бразилия), который Cloudflare еще не запустил в эксплуатацию.
Атака была осуществлена с использованием одного токена доступа и трех учетных данных сервисной учетной записи, связанных с Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks и Smartsheet, которые были украдены после взлома системы управления обращениями в службу поддержки Okta в октябре 2023 года. Cloudflare ошибочно полагала, что эти данные не использовались.
Источник: https://t.me/EchelonEyes/2424
