Web güvenlik şirketi Cloudflare Perşembe günü, bir tehdit aktörünün bazı dahili sistemlerine erişim sağlamak için çalıntı kimlik bilgilerini kullandığını açıkladı.
Devlet destekli olduğuna inanılan tehdit aktörünün Ekim 2023 Okta saldırısında ele geçirilen kimlik bilgilerini Cloudflare’in veritabanına erişmek için kullanmasından dokuz gün sonra, 23 Kasım’da keşfedildi.
Güvenlik firması, çalınan giriş bilgilerinin, bir erişim jetonunun ve üç hizmet hesabı kimlik bilgilerinin Okta olayının ardından değiştirilmediğini ve saldırganların 14 Kasım’dan itibaren Cloudflare sistemlerini incelemesine ve keşif yapmasına izin verdiğini açıkladı.
Cloudflare’e göre saldırganlar, Atlassian Jira ve Confluence’ın yanı sıra AWS ortamına da erişmeyi başardı ancak ağ segmentasyonu onların Okta örneğine ve Cloudflare kontrol paneline erişmelerini engelledi.
Saldırganlar, 16 Kasım’da ortama kalıcı erişim sağlamak için bir Atlassian hesabı oluşturdular ve 20 Kasım’da hâlâ erişime sahip olduklarını doğrulamak için geri döndüler.
22 Kasım’da tehdit aktörü, Sliver Adversary Emulation Framework’ü kurarak Atlassian sunucusuna kalıcı erişim sağladı ve bu sunucu daha sonra yatay olarak hareket etmek için kullanıldı.
Saldırganlar 120 kod deposunu görüntüledi ve bunlardan 76’sını Atlassian sunucusuna indirdi, ancak bunları dışarı sızdırmadı. Cloudflare, depoların az bir kısmının, kendileri güçlü bir şekilde şifrelenmiş olmasına rağmen hemen döndürülen şifrelenmiş sırlar içerdiğini belirtiyor.
Saldırganlar, Cloudflare’in Atlassian paketine erişmek için bir Smartsheet hizmet hesabı kullandı ve hesap, yetkisiz erişim tespit edildikten sonra 23 Kasım’da 35 dakika içinde sonlandırıldı. Saldırganın oluşturduğu kullanıcı hesabı 48 dakika sonra bulunarak devre dışı bırakıldı.
Cloudflare, saldırganların bilinen IP adreslerini engellemek için güvenlik duvarı kurallarını da uygulamaya koyduğunu ve Sliver Adversary Emulation Framework’ün 24 Kasım’da kaldırıldığını söylüyor.
Şirket, “Bu zaman çizelgesi boyunca, tehdit aktörü Cloudflare’deki sayısız başka sisteme erişmeye çalıştı ancak erişim kontrollerimiz, güvenlik duvarı kurallarımız ve kendi Sıfır Güven araçlarımızı kullanarak uygulanan sert güvenlik anahtarlarının kullanımı nedeniyle başarısız oldu” dedi.
Şirket, “Ayrıca, tehdit aktörünün kalıcı erişime sahip olmadığından ve hangi sistemlere dokunduklarını ve hangilerine erişmeye çalıştıklarını tam olarak anladığımızdan emin olmak için her sistemi, hesabı ve günlüğü araştırmaya devam ettik” dedi.