Cloudflare revelou que foi alvo de um ataque provavelmente patrocinado por um estado-nação, no qual o ator de ameaça utilizou credenciais roubadas para obter acesso não autorizado ao seu servidor Atlassian, acessando assim alguma documentação e uma quantidade limitada de código-fonte.

O ataque, que ocorreu entre 14 e 24 de novembro de 2023 e foi detectado em 23 de novembro, foi realizado “com o objetivo de obter acesso persistente e abrangente à rede global da Cloudflare”, descrevendo o ator como “sofisticado” e que “operou de maneira cuidadosa e metódica”.

Como medida de precaução, a empresa disse que rotacionou mais de 5.000 credenciais de produção, segmentou fisicamente sistemas de teste e preparação, realizou triagens forenses em 4.893 sistemas, reimagem e reiniciou cada máquina em sua rede global.

O incidente envolveu um período de reconhecimento de quatro dias para acessar os portais Atlassian Confluence e Jira, após o qual o adversário criou uma conta de usuário Atlassian falsa e estabeleceu acesso persistente ao servidor Atlassian para, finalmente, obter acesso ao sistema de gerenciamento de código-fonte Bitbucket por meio do framework de simulação de adversários Sliver.

Cerca de 120 repositórios de código foram visualizados, dos quais estima-se que 76 tenham sido exfiltrados pelo atacante. “Os 76 repositórios de código-fonte estavam quase todos relacionados a como funcionam os backups, como a rede global é configurada e gerenciada, como funciona a identidade na Cloudflare, acesso remoto e nosso uso de Terraform e Kubernetes”, disse a Cloudflare.

O ator de ameaças tentou, sem sucesso, “acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil”.