Em 23 de novembro de 2023, a Cloudflare detectou e interrompeu um ataque direcionado ao seu data center localizado em São Paulo.
A empresa imediatamente acionou sua equipe de segurança para investigar e bloquear o acesso do agente de ameaça. Posteriormente, a CrowdStrike, uma empresa de segurança cibernética, foi contratada para conduzir uma análise independente do incidente.
Após a conclusão da investigação, a Cloudflare esclareceu que nenhum dado ou sistema de seus clientes foi afetado pelo ataque.
Graças aos seus sólidos controles de acesso, regras de firewall e uso de chaves de segurança, a capacidade do agente de ameaça de se movimentar dentro da rede foi severamente limitada.
Nenhum serviço foi impactado e nenhuma alteração foi feita nos sistemas ou configurações da rede global.
Como o ataque aconteceu?
Durante o período de 14 a 17 de novembro, o agente de ameaça realizou atividades de reconhecimento e acessou a wiki interna e o banco de dados de bugs da Cloudflare, ambos hospedados no servidor Atlassian.
Em 20 e 21 de novembro, foram identificados acessos adicionais, indicando possíveis tentativas de garantir conectividade contínua.
Em 22 de novembro, o agente de ameaça conseguiu estabelecer um acesso persistente ao servidor Atlassian, mas não teve sucesso ao tentar acessar um servidor de console associado ao novo data center da Cloudflare em São Paulo.
Para obter acesso, o agente de ameaça utilizou um token de acesso e três credenciais de conta de serviço que haviam sido comprometidos após um incidente de segurança anterior.
Todas as atividades do agente de ameaça foram encerradas em 24 de novembro, e a CrowdStrike confirmou que a última evidência de atividade ocorreu às 10h44 do mesmo dia.
Embora o impacto operacional do incidente tenha sido considerado mínimo, a Cloudflare tratou o caso com seriedade devido ao acesso não autorizado do agente de ameaça ao servidor Atlassian e à obtenção de documentação e uma quantidade limitada de código-fonte.
Com base em colaborações com especialistas do setor e do governo, acredita-se que esse ataque tenha sido perpetrado por um agente patrocinado por um estado-nação, com o objetivo de obter acesso amplo e persistente à rede global da Cloudflare.
Após a remoção do agente de ameaça de seu ambiente, a Cloudflare mobilizou uma equipe multidisciplinar para investigar a intrusão e garantir que o acesso do agente de ameaça fosse completamente bloqueado.
Em seguida, a empresa lançou o projeto “Código Vermelho”, que visava fortalecer, validar e remediar todos os controles de segurança em seu ambiente, a fim de prevenir futuras intrusões.
Além disso, foram realizadas investigações minuciosas em todos os sistemas, contas e registros para verificar se o agente de ameaça havia obtido acesso persistente e para entender completamente quais sistemas foram afetados.
Embora o projeto “Código Vermelho” tenha sido concluído em 5 de janeiro, a Cloudflare continua a trabalhar em várias iniciativas para aprimorar sua segurança. Isso inclui a gestão de credenciais, o fortalecimento de software, a gestão de vulnerabilidades e a implementação de alertas adicionais.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
