Cloudflare, tehdit aktörünün çalıntı kimlik bilgilerini kullanarak Atlassian sunucusuna yetkisiz erişim sağladığı ve sonuçta bazı belgelere ve sınırlı miktarda kaynak koduna eriştiği olası bir ulus devlet saldırısının hedefi olduğunu ortaya çıkardı.
Web altyapı şirketi, 14-24 Kasım 2023 tarihleri arasında gerçekleşen ve 23 Kasım’da tespit edilen saldırının “Cloudflare’in küresel ağına kalıcı ve yaygın erişim sağlamak amacıyla” gerçekleştirildiğini belirterek, aktörü şöyle tanımladı: ” sofistike” ve “düşünceli ve metodik bir şekilde çalışan” biri.
Şirket ayrıca ihtiyati tedbir olarak 5.000’den fazla üretim belgesini döndürdüğünü, fiziksel olarak bölümlere ayrılmış test ve hazırlama sistemlerini değiştirdiğini, 4.893 sistemde adli triyaj gerçekleştirdiğini, küresel ağındaki her makineyi yeniden görüntülediğini ve yeniden başlattığını söyledi.
Olay, Atlassian Confluence ve Jira portallarına erişim için dört günlük bir keşif sürecini içeriyordu; bunun ardından düşman, hileli bir Atlassian kullanıcı hesabı oluşturdu ve sonunda Bitbucket kaynak kodu yönetim sistemine erişim sağlamak için Atlassian sunucusuna kalıcı erişim sağladı. Şerit düşman simülasyon çerçevesi.
120 kadar kod deposu görüntülendi ve bunların 76’sının saldırgan tarafından sızdırıldığı tahmin ediliyor.
Cloudflare, “76 kaynak kodu deposunun neredeyse tamamı yedeklemelerin nasıl çalıştığı, küresel ağın nasıl yapılandırıldığı ve yönetildiği, Cloudflare’de kimliğin nasıl çalıştığı, uzaktan erişim ve Terraform ve Kubernetes kullanımımızla ilgiliydi” dedi.
“Depoların az bir kısmı, kendileri güçlü bir şekilde şifrelenmiş olsalar bile hemen döndürülen şifrelenmiş sırlar içeriyordu.”
Tehdit aktörünün daha sonra başarısız bir şekilde “Cloudflare’in Brezilya’nın São Paulo kentinde üretime sokmadığı veri merkezine erişimi olan bir konsol sunucusuna erişmeye” çalıştığı söyleniyor.
Saldırı, Ekim 2023’te Okta’nın destek vaka yönetimi sisteminin hacklenmesinin ardından çalınan Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks ve Smartsheet ile ilişkili bir erişim jetonu ve üç hizmet hesabı kimlik bilgisi kullanılarak gerçekleştirildi.
Cloudflare, yanlışlıkla kullanılmadıklarını varsayarak bu kimlik bilgilerini döndürmede başarısız olduğunu kabul etti.
Şirket ayrıca 24 Kasım 2024’te tehdit aktöründen kaynaklanan tüm kötü niyetli bağlantıları sonlandırmak için adımlar attığını söyledi. Ayrıca olayla ilgili bağımsız bir değerlendirme yapmak üzere siber güvenlik firması CrowdStrike’ı da dahil etti.
“Tehdit aktörünün çalınan kimlik bilgilerini kullanarak erişebildiği tek üretim sistemi Atlassian ortamımızdı. Eriştikleri wiki sayfaları, hata veritabanı sorunları ve kaynak kodu depoları analiz edildiğinde mimari, güvenlik ve yönetim hakkında bilgi aradıkları anlaşılıyor Cloudflare, “Küresel ağımızın bir parçasıyız” dedi.