Cloudflare gehackt: Warum und von wem?

(Di Alessandro Rugolo)
04/03/24

Anfang Februar kam die Nachricht vom Hackerangriff Cloudflare. In den Titeln der Zeitschriften lesen wir, dass das Unternehmen Cloudflare, ein amerikanischer Netzwerksicherheitsriese, wurde von einer wahrscheinlich „staatlich geförderten“ Gruppe gehackt. 

Der Angriff, zweitens Sicherheitswoche, geschah durch die Verwendung von Anmeldeinformationen, die bei einem früheren Angriff (Okta-Hack) gestohlen wurden. Okta, ein Anbieter von Online-Sicherheits- und Identitätsdiensten, wurde angeblich im September gehackt und meldete den Verlust von Daten seiner Kunden. 

Nochmals aus dem Artikel von Sicherheitswoche Anfang Februar erfuhren wir, dass die Informationen von login Die während des Angriffs auf Okta gestohlenen Dateien wurden nicht ersetzt, sodass der Angreifer Zugriff auf die Systeme erhalten konnte Cloudflare ab November 14.

Nach dem, was wir bisher wissen, sollten wir uns einige Fragen stellen:

  1. Wenn ein Sicherheitsunternehmen eine Meldung über den Verlust seiner Zugangsdaten erhält, warum schaltet es diese dann nicht sofort ab?
  2. Warum sollte ein „staatlicher Akteur“ für einen Hackerangriff ins Spiel gebracht werden, der trivial auf der Verwendung gestohlener und noch aktiver Zugangsdaten basiert?

Zwei Fragen, deren Antwort nicht trivial ist.

Wir machen weiter. 

Immer nach Cloudflare Der Angreifer hatte Zugriff auf mehrere interne Systeme: 

- eine AWS-Umgebung;

- die Systeme Jira e Zusammenfluss, von Atlassian, zwei Systeme von fortgeschrittene Zusammenarbeit benutzt von Cloudflare. Jira Insbesondere wird es zur Verwaltung von Systemfehlern verwendet.

Auch hier konnte sich der Angreifer nach Angaben des Unternehmens innerhalb der Arbeitsumgebung bewegen und hatte Zugriff auf 120 Repositories von Code. Ob er sie heruntergeladen hat, ist unklar. Tatsache ist, dass die Dokumente, zu denen er Zugang hatte, die Arbeitsweise des Unternehmens betrafen Sicherungskopie, die Konfiguration und Verwaltung des globalen Netzwerks Cloudflare, Fernzugriff und die Verwendung von Terraform (einfach ausgedrückt ein IT-Infrastruktur-Managementsystem) und Kubernetes (zur Verwaltung von Arbeitslasten und Diensten).

Der Hacker wurde erst am 23. November identifiziert, also nach etwa 10 Tagen, in denen es ihm auch gelang, Software im Netzwerk zu installieren Cloudflare, ein Werkzeug rotes Teaming das heißt Sliver, ein Gegner-Emulations-Framework und es ist Open Source und kann kostenlos von GitHub heruntergeladen werden.

Lassen Sie uns nun versuchen, die beiden oben gestellten Fragen zu beantworten:

- Die Antwort auf die erste Frage ist ganz einfach: Gesellschaften bestehen aus Menschen, die ihre Zeit haben, ihre Probleme und die Fehler machen. Wer sich damit befassen musste, hat die Sache wahrscheinlich unterschätzt oder, einfacher gesagt, war im Urlaub oder mit anderen Dingen beschäftigt! Sie kennen das Ergebnis.

- Die zweite Frage ist schwieriger zu beantworten. Aus Sicht der Medienpräsenz ist es einfacher, ein Versagen zu rechtfertigen, wenn der Täter ein gegnerischer Staat ist, und schwieriger, das Geschehene zu rechtfertigen, wenn sich herausstellt, dass der Angreifer ein fünfzehnjähriger Neuling ist. Darüber hinaus machen die internationale Situation der Vereinigten Staaten und die Position von Cloudflare als globaler Anbieter von Sicherheitsdiensten das Unternehmen zu einem idealen Opfer für jeden, der die Verantwortung für den Angriff übernehmen möchte. 

Leider ist es meiner Meinung nach aus mehreren Gründen schwierig zu behaupten, dass der Angriff „staatlich gefördert“ wurde. Irgendwie würde man von einem „staatlich geförderten“ Angriff sprechen. Darüber hinaus geht aus der Lektüre der verschiedenen Artikel hervor, dass der Angreifer am „Thanksgiving“-Tag, dem 23. November, eine Pause eingelegt hat, wahrscheinlich weil er mit seiner Familie beschäftigt war, zu feiern!

Geben wir ihm also Zeit. Vielleicht ergibt sich später etwas, das es uns ermöglicht zu verstehen, was passiert ist.

PS: Für die Neugierigeren habe ich am Fuß der Seite mehrere Links eingefügt, anhand derer Sie auch den durch diesen Angriff verursachten Schaden in Bezug auf Kontrollaktivitäten und in der Praxis ausgegebenes Geld nachvollziehen können!

Viel Spaß beim Lesen.

Um mehr zu erfahren:

- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponso...

https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole...

- https://www.atlassian.com/software/confluence/jira-integration

- https://developers.cloudflare.com/terraform/ 

- https://bishopfox.com/tools/sliver

- https://blog.cloudflare.com/thanksgiving-2023-security-incident

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte