Siber Muhbir

Web altyapı şirketi, 14-24 Kasım 2023 tarihleri arasında gerçekleşen ve 23 Kasım'da tespit edilen izinsiz girişin "Cloudflare'in küresel ağına kalıcı ve yaygın erişim elde etmek amacıyla" gerçekleştirildiğini söyledi ve aktörü "sofistike" ve "düşünceli ve metodik bir şekilde çalışan" biri olarak nitelendirdi.

İhtiyati bir önlem olarak şirket, 5.000'den fazla üretim kimlik bilgisini döndürdüğünü, test ve evreleme sistemlerini fiziksel olarak bölümlere ayırdığını, 4.893 sistemde adli triyajlar gerçekleştirdiğini, küresel ağındaki her makineyi yeniden görüntülediğini ve yeniden başlattığını söyledi.

Olay, Atlassian Confluence ve Jira portallarına erişmek için dört günlük bir keşif dönemini içeriyordu, ardından düşman sahte bir Atlassian kullanıcı hesabı oluşturdu ve nihayetinde Sliver düşman simülasyon çerçevesi aracılığıyla Bitbucket kaynak kodu yönetim sistemine erişim elde etmek için Atlassian sunucusuna kalıcı erişim sağladı.

120 kadar kod deposu görüntülendi ve bunlardan 76'sının saldırgan tarafından sızdırıldığı tahmin ediliyor.

Cloudflare, "76 kaynak kodu deposunun neredeyse tamamı, yedeklemelerin nasıl çalıştığı, küresel ağın nasıl yapılandırıldığı ve yönetildiği, kimliğin Cloudflare'de nasıl çalıştığı, uzaktan erişim ve Terraform ve Kubernetes kullanımımızla ilgiliydi" dedi.

"Depoların az bir kısmı, kendileri güçlü bir şekilde şifrelenmiş olsalar bile hemen döndürülen şifreli sırlar içeriyordu."

Tehdit aktörünün daha sonra "Cloudflare'ın Brezilya'nın São Paulo kentinde henüz üretime sokmadığı veri merkezine erişimi olan bir konsol sunucusuna erişmeye" başarısız bir şekilde teşebbüs ettiği söyleniyor.

Saldırı, Ekim 2023'te Okta'nın destek vaka yönetim sisteminin hacklenmesinin ardından çalınan Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks ve Smartsheet ile ilişkili bir erişim belirteci ve üç hizmet hesabı kimlik bilgisi kullanılarak mümkün oldu.

Cloudflare, yanlışlıkla kullanılmadıklarını varsayarak bu kimlik bilgilerini döndürmeyi başaramadığını kabul etti.

Şirket ayrıca 24 Kasım 2023'te tehdit aktöründen kaynaklanan tüm kötü amaçlı bağlantıları sonlandırmak için adımlar attığını söyledi. Ayrıca, olayın bağımsız bir değerlendirmesini yapmak için siber güvenlik firması CrowdStrike'ı da içeriyordu.

"Tehdit aktörünün çalınan kimlik bilgilerini kullanarak erişebildiği tek üretim sistemi Atlassian ortamımızdı. Eriştikleri wiki sayfalarını, hata veritabanı sorunlarını ve kaynak kodu depolarını analiz ederek, küresel ağımızın mimarisi, güvenliği ve yönetimi hakkında bilgi aradıkları anlaşılıyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.