В начале февраля появилась новость о взломе Cloudflare. В заголовках журналов мы читаем, что компания Cloudflare, американский гигант сетевой безопасности, был взломан вероятно группой, «спонсируемой государством».
Атака, вторая Неделя безопасности, произошло из-за использования учетных данных, украденных во время предыдущей атаки (взлом Okta). Okta, поставщик услуг онлайн-безопасности и идентификации, предположительно подвергся хакерской атаке в сентябре и сообщил о потере данных о своих клиентах.
Опять же из статьи Неделя безопасности в начале февраля мы узнали, что информация Войти украденные во время атаки на Окту, не были заменены, что позволило злоумышленнику получить доступ к системам Cloudflare начиная с ноября 14.
Исходя из того, что мы знаем на данный момент, нам следует начать задавать себе несколько вопросов:
- Если охранная компания получает уведомление о затрагивающей ее потере доступа к данным, почему она не приступает к немедленному отключению?
- зачем привлекать «государственного субъекта» к попытке взлома, банально основанной на использовании украденных и все еще активных учетных данных?
Два вопроса, ответ на которые нетривиален.
Давай продолжим.
Semper second Cloudflare злоумышленник имел доступ к нескольким внутренним системам:
- среда AWS;
- системы Jira e Слияние, от Atlassian, две системы расширенное сотрудничество использован Cloudflare. Jira в частности, он используется для управления системными ошибками.
Опять же, согласно заявлениям компании, злоумышленник мог перемещаться по рабочей среде и имел доступ к 120 хранилища кода. Скачал ли он их или нет, неясно. Дело в том, что документы, к которым он имел доступ, касались методов работы резервная копия, настройка и управление глобальной сетью Cloudflare, удаленный доступ и использование Terraform (проще говоря, системы управления ИТ-инфраструктурой) и Kubernetes (для управления рабочими нагрузками и сервисами).
Хакер был идентифицирован только 23 ноября, то есть примерно через 10 дней, в течение которых он также успел установить программное обеспечение внутри сети. Cloudflare, инструмент красная команда это называется Щепка, un Платформа эмуляции противника он имеет открытый исходный код и его можно бесплатно загрузить с GitHub.
Сказав это, давайте перейдем к попытке ответить на два вопроса, поставленных выше:
- ответ на первый довольно прост: общества состоят из людей, у которых есть свое время, свои проблемы и которые совершают ошибки. Тот, кому приходилось с этим иметь дело, вероятно, недооценивал дело или, проще говоря, был занят в отпуске или другими делами! Вы знаете результат.
- на второй вопрос ответить сложнее. С точки зрения СМИ, проще оправдать неудачу, если виновником является противостоящее государство, труднее оправдать то, что произошло, если окажется, что нападавшим является пятнадцатилетний новичок. Более того, международное положение США и положение Cloudflare как глобального поставщика услуг безопасности делают их идеальной жертвой для любого, кто хочет взять на себя ответственность за атаку.
К сожалению, на мой взгляд, трудно утверждать, что нападение было «спонсировано государством» по нескольким причинам. Каким-то образом можно было бы объявить об атаке, «спонсируемой государством». Кроме того, из прочтения различных статей можно сделать вывод, что злоумышленник взял перерыв в День Благодарения, 23 ноября, вероятно, потому, что был занят празднованием со своей семьей!
Так что давайте дадим ему время. Возможно, позже появится что-то, что позволит нам понять, что произошло.
PS Для более любопытных я включил несколько ссылок внизу страницы, из которых вы также можете понять ущерб, нанесенный этой атакой с точки зрения контрольных мероприятий, на практике потраченных денег!
Приятного чтения.
Для углубления:
- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponso...
- https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole...
- https://www.atlassian.com/software/confluence/jira-integration
- https://developers.cloudflare.com/terraform/
- https://bishopfox.com/tools/sliver
- https://blog.cloudflare.com/thanksgiving-2023-security-incident