Vụ việc được phát hiện vào ngày 23/11/2023, thời điểm 9 ngày sau khi những kẻ tấn công được cho là do nhà nước bảo trợ, đã sử dụng thông tin đăng nhập từng bị xâm phạm trong vụ tấn công mạng nhắm đến công ty ứng dụng xác thực Okta (Mỹ) xảy ra vào tháng 10/2023 để truy cập cơ sở dữ liệu và wiki nội bộ của Cloudflare.
Cloudflare cho biết, thông tin đăng nhập bị đánh cắp, mã thông báo truy cập và thông tin xác thực tài khoản dịch vụ đã không được xử lý triệt để sau sự cố Okta, cho phép tin tặc thăm dò và thực hiện trinh sát hệ thống Cloudflare bắt đầu từ ngày 14/11/2023. Những tin tặc đã truy cập được vào môi trường AWS, cũng như hai nền tảng của Atlassian là Jira và Confluence, nhưng vì chặn phân đoạn mạng đã ngăn chúng truy cập vào phiên bản Okta và bảng điều khiển Cloudflare của nó.
Với quyền truy cập vào nền tảng Atlassian, tin tặc bắt đầu tìm kiếm thông tin trên mạng Cloudflare và trên wiki những từ khóa như: “remote access”, “secret”, “client-secret”, “openconnect”, “cloudflared” và “token”. Tổng cộng 202 trang wiki đã được truy cập.
Ngày 22/11/2023, tin tặc đã cài đặt Sliver Adversary Emulation Framework để giành quyền truy cập liên tục vào máy chủ Atlassian, sau đó được sử dụng để di chuyển ngang hàng trong hệ thống mạng. Sau đó chúng đã cố gắng truy cập vào một máy chủ trung tâm dữ liệu tại São Paulo, Brazil và đã thực hiện tải 76 trong số 120 kho lưu trữ mã nguồn xuống máy chủ Atlassian, nhưng không thành công.
Đại diện phía Cloudflare lưu ý rằng: “76 kho lưu trữ mã nguồn hầu hết đều liên quan đến cách hoạt động của các bản sao lưu, cấu hình và quản lý mạng toàn cầu, cách nhận dạng hoạt động tại Cloudflare, truy cập từ xa và việc sử dụng Terraform và Kubernetes của chúng tôi. Một số lượng nhỏ các kho lưu trữ chứa các bí mật được mã hóa đã được điều chuyển ngay lập tức mặc dù bản thân chúng đã được mã hóa mạnh”.
Tin tặc đã sử dụng tài khoản dịch vụ Smartsheet để truy cập nền tảng Atlassian của Cloudflare và tài khoản này đã bị chấm dứt hoạt động vào ngày 23/11/2023, trong vòng 35 phút sau khi xác định được hành vi truy cập trái phép. Bên cạnh đó, tài khoản người dùng do tin tặc tạo ra đã được tìm thấy và vô hiệu hóa 48 phút sau đó.
Cloudflare đã đưa ra các tập luật tường lửa để ngăn chặn các địa chỉ IP đã biết của tin tặc và Sliver Adversary Emulation Framework đã bị xóa vào ngày 24/11/2023. Công ty cho biết: “Trong suốt khoảng thời gian này, các tin tặc đã cố gắng truy cập vô số hệ thống khác tại Cloudflare nhưng không thành công do các biện pháp kiểm soát truy cập, tập luật tường lửa và việc sử dụng khóa bảo mật cứng được thực thi bằng công cụ Zero Trust”.
Các nhà nghiên cứu đã không tìm thấy bằng chứng nào cho thấy các tin tặc đã truy cập vào dữ liệu mạng toàn cầu, cơ sở dữ liệu khách hàng, thông tin cấu hình, trung tâm dữ liệu, khóa SSL hoặc bất kỳ thông tin nào khác ngoại trừ dữ liệu các máy chủ chạy các nền tảng của Atlassian.
Vào ngày 24/11/2023, Cloudflare xác nhận rằng tin tặc không thể truy cập vào hệ thống của công ty nữa. Đồng thời, công ty sẽ tiếp tục điều tra mọi hệ thống, tài khoản và nhật ký để đảm bảo tin tặc không thể có quyền truy cập vào hệ thống được nữa.
Cloudflare cho biết mục tiêu của cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng của công ty, từ đó có khả năng duy trì sự bền vững trong hệ thống, đồng thời đánh giá: “Đây là một sự cố tấn công mạng liên quan đến một tác nhân tinh vi, có thể từ các nhóm tin tặc được nhà nước bảo trợ. Những nỗ lực mà Cloudflare đã thực hiện để đảm bảo rằng tác động hiện tại của vụ việc được hạn chế tối thiểu và chuẩn bị sẵn sàng nhằm chống lại bất kỳ các cuộc mối đe dọa nào khác trong tương lai”. Công ty an ninh mạng CrowdStrike (Mỹ) cũng đã thực hiện một cuộc điều tra riêng về vụ việc nhưng không phát hiện ra bằng chứng nào về sự thỏa hiệp bổ sung.
Thuỳ Anh
(Tổng hợp)
15:00 | 19/02/2024
15:00 | 26/01/2024
10:00 | 21/02/2024
08:00 | 08/01/2024
15:00 | 18/12/2023
15:00 | 25/03/2024
17:00 | 07/11/2024
Trong bản cập nhật bảo mật tháng 11, Google đã giải quyết 40 lỗ hổng bảo mật trong hệ điều hành Android, trong đó có 02 lỗ hổng được đánh dấu là đang bị khai thác tích cực, với định danh CVE-2024-43047 và CVE-2024-43093.
13:00 | 25/10/2024
Báo cáo của Kaspersky về Bối cảnh an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong quý 2 năm 2024 cho thấy các cuộc tấn công bằng mã độc tống tiền tăng 20% so với quý trước. Báo cáo nhấn mạnh mối đe dọa ngày càng gia tăng đối với các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới, trong đó mã độc tống tiền (ransomware) và phần mềm gián điệp gây ra những rủi ro đáng kể nhất.
16:00 | 24/10/2024
Ngày 23/10/2024, nền tảng học trực tuyến MasterTeck được Viện Công nghệ Blockchain và Trí tuệ nhân tạo ABAII, một thành viên của Hiệp hội Blockchain Việt Nam (VBA) chính thức ra mắt, hướng tới phổ cập Blockchain và AI cho 1 triệu người dân Việt Nam thông qua việc phát triển các khóa học trực tuyến mở.
11:00 | 24/10/2024
Từ chủ trương đúng, ngành Xuất bản đã ứng dụng công nghệ triệt để trong mọi khâu, giúp ngành sách có bước chuyển mình trong kỷ nguyên số.
Lô hàng chip AI tiên tiến của Mỹ đã được cấp phép xuất khẩu sang UAE. Cơ sở tiếp nhận do Microsoft điều hành hứa hẹn sẽ thúc đẩy mạnh mẽ ứng dụng công nghệ AI tại quốc gia này.
10:00 | 11/12/2024