Vụ việc được phát hiện vào ngày 23/11/2023, thời điểm 9 ngày sau khi những kẻ tấn công được cho là do nhà nước bảo trợ, đã sử dụng thông tin đăng nhập từng bị xâm phạm trong vụ tấn công mạng nhắm đến công ty ứng dụng xác thực Okta (Mỹ) xảy ra vào tháng 10/2023 để truy cập cơ sở dữ liệu và wiki nội bộ của Cloudflare.
Cloudflare cho biết, thông tin đăng nhập bị đánh cắp, mã thông báo truy cập và thông tin xác thực tài khoản dịch vụ đã không được xử lý triệt để sau sự cố Okta, cho phép tin tặc thăm dò và thực hiện trinh sát hệ thống Cloudflare bắt đầu từ ngày 14/11/2023. Những tin tặc đã truy cập được vào môi trường AWS, cũng như hai nền tảng của Atlassian là Jira và Confluence, nhưng vì chặn phân đoạn mạng đã ngăn chúng truy cập vào phiên bản Okta và bảng điều khiển Cloudflare của nó.
Với quyền truy cập vào nền tảng Atlassian, tin tặc bắt đầu tìm kiếm thông tin trên mạng Cloudflare và trên wiki những từ khóa như: “remote access”, “secret”, “client-secret”, “openconnect”, “cloudflared” và “token”. Tổng cộng 202 trang wiki đã được truy cập.
Ngày 22/11/2023, tin tặc đã cài đặt Sliver Adversary Emulation Framework để giành quyền truy cập liên tục vào máy chủ Atlassian, sau đó được sử dụng để di chuyển ngang hàng trong hệ thống mạng. Sau đó chúng đã cố gắng truy cập vào một máy chủ trung tâm dữ liệu tại São Paulo, Brazil và đã thực hiện tải 76 trong số 120 kho lưu trữ mã nguồn xuống máy chủ Atlassian, nhưng không thành công.
Đại diện phía Cloudflare lưu ý rằng: “76 kho lưu trữ mã nguồn hầu hết đều liên quan đến cách hoạt động của các bản sao lưu, cấu hình và quản lý mạng toàn cầu, cách nhận dạng hoạt động tại Cloudflare, truy cập từ xa và việc sử dụng Terraform và Kubernetes của chúng tôi. Một số lượng nhỏ các kho lưu trữ chứa các bí mật được mã hóa đã được điều chuyển ngay lập tức mặc dù bản thân chúng đã được mã hóa mạnh”.
Tin tặc đã sử dụng tài khoản dịch vụ Smartsheet để truy cập nền tảng Atlassian của Cloudflare và tài khoản này đã bị chấm dứt hoạt động vào ngày 23/11/2023, trong vòng 35 phút sau khi xác định được hành vi truy cập trái phép. Bên cạnh đó, tài khoản người dùng do tin tặc tạo ra đã được tìm thấy và vô hiệu hóa 48 phút sau đó.
Cloudflare đã đưa ra các tập luật tường lửa để ngăn chặn các địa chỉ IP đã biết của tin tặc và Sliver Adversary Emulation Framework đã bị xóa vào ngày 24/11/2023. Công ty cho biết: “Trong suốt khoảng thời gian này, các tin tặc đã cố gắng truy cập vô số hệ thống khác tại Cloudflare nhưng không thành công do các biện pháp kiểm soát truy cập, tập luật tường lửa và việc sử dụng khóa bảo mật cứng được thực thi bằng công cụ Zero Trust”.
Các nhà nghiên cứu đã không tìm thấy bằng chứng nào cho thấy các tin tặc đã truy cập vào dữ liệu mạng toàn cầu, cơ sở dữ liệu khách hàng, thông tin cấu hình, trung tâm dữ liệu, khóa SSL hoặc bất kỳ thông tin nào khác ngoại trừ dữ liệu các máy chủ chạy các nền tảng của Atlassian.
Vào ngày 24/11/2023, Cloudflare xác nhận rằng tin tặc không thể truy cập vào hệ thống của công ty nữa. Đồng thời, công ty sẽ tiếp tục điều tra mọi hệ thống, tài khoản và nhật ký để đảm bảo tin tặc không thể có quyền truy cập vào hệ thống được nữa.
Cloudflare cho biết mục tiêu của cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng của công ty, từ đó có khả năng duy trì sự bền vững trong hệ thống, đồng thời đánh giá: “Đây là một sự cố tấn công mạng liên quan đến một tác nhân tinh vi, có thể từ các nhóm tin tặc được nhà nước bảo trợ. Những nỗ lực mà Cloudflare đã thực hiện để đảm bảo rằng tác động hiện tại của vụ việc được hạn chế tối thiểu và chuẩn bị sẵn sàng nhằm chống lại bất kỳ các cuộc mối đe dọa nào khác trong tương lai”. Công ty an ninh mạng CrowdStrike (Mỹ) cũng đã thực hiện một cuộc điều tra riêng về vụ việc nhưng không phát hiện ra bằng chứng nào về sự thỏa hiệp bổ sung.
Thuỳ Anh
(Tổng hợp)
15:00 | 19/02/2024
15:00 | 26/01/2024
10:00 | 21/02/2024
08:00 | 08/01/2024
15:00 | 25/03/2024
15:00 | 18/12/2023
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
09:00 | 04/03/2024
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.
15:00 | 01/03/2024
Microsoft đã phát triển Python Risk Identification Tool (PyRIT) như một công cụ hỗ trợ quan trọng cho các đội ngũ Red Teaming trong việc đánh giá và phát hiện rủi ro trong hệ thống AI tạo sinh.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
