Vụ việc được phát hiện vào ngày 23/11/2023, thời điểm 9 ngày sau khi những kẻ tấn công được cho là do nhà nước bảo trợ, đã sử dụng thông tin đăng nhập từng bị xâm phạm trong vụ tấn công mạng nhắm đến công ty ứng dụng xác thực Okta (Mỹ) xảy ra vào tháng 10/2023 để truy cập cơ sở dữ liệu và wiki nội bộ của Cloudflare.
Cloudflare cho biết, thông tin đăng nhập bị đánh cắp, mã thông báo truy cập và thông tin xác thực tài khoản dịch vụ đã không được xử lý triệt để sau sự cố Okta, cho phép tin tặc thăm dò và thực hiện trinh sát hệ thống Cloudflare bắt đầu từ ngày 14/11/2023. Những tin tặc đã truy cập được vào môi trường AWS, cũng như hai nền tảng của Atlassian là Jira và Confluence, nhưng vì chặn phân đoạn mạng đã ngăn chúng truy cập vào phiên bản Okta và bảng điều khiển Cloudflare của nó.
Với quyền truy cập vào nền tảng Atlassian, tin tặc bắt đầu tìm kiếm thông tin trên mạng Cloudflare và trên wiki những từ khóa như: “remote access”, “secret”, “client-secret”, “openconnect”, “cloudflared” và “token”. Tổng cộng 202 trang wiki đã được truy cập.
Ngày 22/11/2023, tin tặc đã cài đặt Sliver Adversary Emulation Framework để giành quyền truy cập liên tục vào máy chủ Atlassian, sau đó được sử dụng để di chuyển ngang hàng trong hệ thống mạng. Sau đó chúng đã cố gắng truy cập vào một máy chủ trung tâm dữ liệu tại São Paulo, Brazil và đã thực hiện tải 76 trong số 120 kho lưu trữ mã nguồn xuống máy chủ Atlassian, nhưng không thành công.
Đại diện phía Cloudflare lưu ý rằng: “76 kho lưu trữ mã nguồn hầu hết đều liên quan đến cách hoạt động của các bản sao lưu, cấu hình và quản lý mạng toàn cầu, cách nhận dạng hoạt động tại Cloudflare, truy cập từ xa và việc sử dụng Terraform và Kubernetes của chúng tôi. Một số lượng nhỏ các kho lưu trữ chứa các bí mật được mã hóa đã được điều chuyển ngay lập tức mặc dù bản thân chúng đã được mã hóa mạnh”.
Tin tặc đã sử dụng tài khoản dịch vụ Smartsheet để truy cập nền tảng Atlassian của Cloudflare và tài khoản này đã bị chấm dứt hoạt động vào ngày 23/11/2023, trong vòng 35 phút sau khi xác định được hành vi truy cập trái phép. Bên cạnh đó, tài khoản người dùng do tin tặc tạo ra đã được tìm thấy và vô hiệu hóa 48 phút sau đó.
Cloudflare đã đưa ra các tập luật tường lửa để ngăn chặn các địa chỉ IP đã biết của tin tặc và Sliver Adversary Emulation Framework đã bị xóa vào ngày 24/11/2023. Công ty cho biết: “Trong suốt khoảng thời gian này, các tin tặc đã cố gắng truy cập vô số hệ thống khác tại Cloudflare nhưng không thành công do các biện pháp kiểm soát truy cập, tập luật tường lửa và việc sử dụng khóa bảo mật cứng được thực thi bằng công cụ Zero Trust”.
Các nhà nghiên cứu đã không tìm thấy bằng chứng nào cho thấy các tin tặc đã truy cập vào dữ liệu mạng toàn cầu, cơ sở dữ liệu khách hàng, thông tin cấu hình, trung tâm dữ liệu, khóa SSL hoặc bất kỳ thông tin nào khác ngoại trừ dữ liệu các máy chủ chạy các nền tảng của Atlassian.
Vào ngày 24/11/2023, Cloudflare xác nhận rằng tin tặc không thể truy cập vào hệ thống của công ty nữa. Đồng thời, công ty sẽ tiếp tục điều tra mọi hệ thống, tài khoản và nhật ký để đảm bảo tin tặc không thể có quyền truy cập vào hệ thống được nữa.
Cloudflare cho biết mục tiêu của cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng của công ty, từ đó có khả năng duy trì sự bền vững trong hệ thống, đồng thời đánh giá: “Đây là một sự cố tấn công mạng liên quan đến một tác nhân tinh vi, có thể từ các nhóm tin tặc được nhà nước bảo trợ. Những nỗ lực mà Cloudflare đã thực hiện để đảm bảo rằng tác động hiện tại của vụ việc được hạn chế tối thiểu và chuẩn bị sẵn sàng nhằm chống lại bất kỳ các cuộc mối đe dọa nào khác trong tương lai”. Công ty an ninh mạng CrowdStrike (Mỹ) cũng đã thực hiện một cuộc điều tra riêng về vụ việc nhưng không phát hiện ra bằng chứng nào về sự thỏa hiệp bổ sung.
Thuỳ Anh
(Tổng hợp)
15:00 | 19/02/2024
15:00 | 26/01/2024
10:00 | 21/02/2024
08:00 | 08/01/2024
15:00 | 25/03/2024
15:00 | 18/12/2023
10:00 | 26/04/2024
Cisco đã đưa ra cảnh báo về chiến dịch tấn công Brute Force quy mô lớn nhắm mục tiêu vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
07:00 | 12/04/2024
Ngày 9/4, Microsoft phát hành bản vá Patch Tuesday để giải quyết 150 lỗ hổng bảo mật. Trong đó, có 3 lỗ hổng nghiêm trọng, 67 lỗ hổng thực thi mã từ xa, hơn một nửa số lỗ hổng RCE được phát hiện tồn tại trong các driver Microsoft SQL.
08:00 | 10/02/2024
Theo thống kê của Liên Hợp Quốc, các doanh nghiệp vừa và nhỏ (SMB) đóng góp 50% tổng sản phẩm quốc nội toàn cầu và tạo thành trục xương sống của nền kinh tế của nhiều quốc gia. Trong bối cảnh chịu ảnh hưởng nặng nề bởi đại dịch COVID-19 và căng thẳng địa chính trị, các doanh nghiệp SMB đã cùng lúc phải đối mặt với những khủng hoảng về kinh tế và đặc biệt là các cuộc tấn công mạng. Bài báo sẽ trình bày về các mối đe dọa an ninh mạng chính đối với các doanh nghiệp SMB trong nửa đầu năm 2023, đồng thời đưa ra những khuyến nghị về cách đảm bảo an toàn thông tin, dựa trên báo cáo của hãng bảo mật Kaspersky.
14:00 | 16/01/2024
Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
