Cloudflare表示，疑似国家支持的黑客试图侵入其全球网络

互联网基础设施公司Cloudflare(NET.N)，周四在一份声明中表示，去年年底，一个先进的黑客组织试图深入入侵其全球网络，但遭到挫败。

该公司在一篇博客文章中表示，该公司没有透露黑客的身份，11月下旬的感恩节，它发现了入侵者，并于第二天将他们驱逐了。间谍能够访问“一些文档和有限数量的源代码”，但Cloudflare表示，入侵的操作影响“极其有限”。

“根据我们与行业和政府同事的合作，我们认为这次攻击是由民族国家攻击者发起的，目的是获得对Cloudflare全球网络的持久和广泛的访问。”

Cloudflare表示已聘请网络安全公司CrowdStrike(CRWD.O)，打开新选项卡帮助补救违规行为，该公司确认“威胁活动”的最后证据已于11月24日留下。

CrowdStrike没有立即回应置评请求。FBI和美国网络监管机构CISA也没有立即回复寻求置评的消息。

Cloudflare提供一套Web和应用程序服务，包括内容交付和网络保护。互联网的很大一部分依赖这家总部位于旧金山的公司向用户提供网络内容，因此其网络的任何中断都可能产生严重的连锁反应。

黑客入侵细节曝光

该事件于11月23日被发现，九天后，据信受到国家支持的威胁行为者使用2023年10月Okta黑客攻击中泄露的凭据访问Cloudflare的内部wiki和错误数据库。

该安全公司解释说，Okta事件发生后，被盗的登录信息、一个访问令牌和三个服务帐户凭证并未轮换，从而使攻击者能够从11月14日开始对Cloudflare系统进行探测和侦察。

据Cloudflare称，攻击者设法访问AWS环境以及Atlassian Jira和Confluence，但网络分段阻止他们访问其Okta实例和Cloudflare后台。

通过访问Atlassian套件，威胁行为者开始在Cloudflare网络上查找信息，在wiki中搜索“远程访问、秘密、客户端秘密、openconnect、cloudflared和令牌等内容”。总共访问了36个Jira票证和202个wiki页面。

11月16日，攻击者创建了一个Atlassian帐户以获得对环境的持久访问权限，并于11月20日返回以验证他们是否仍然具有访问权限。

11月22日，威胁行为者安装了Sliver Adversary Emulation Framework，获得对Atlassian服务器的持久访问权限，然后使用该服务器进行横向移动。他们尝试访问巴西圣保罗数据中心尚未运行的非生产控制台服务器。

攻击者查看了120个代码存储库，并将其中76个下载到Atlassian服务器，但并未泄露它们。

“这76个源代码存储库几乎都与备份的工作方式、全球网络的配置和管理方式、Cloudflare中的身份工作方式、远程访问以及我们对Terraform和Kubernetes的使用有关。少数存储库包含加密的秘密，即使它们本身经过严格加密，也会立即轮换。”Cloudflare指出。

攻击者使用Smartsheet服务帐户访问Cloudflare的Atlassian套件，该帐户于11月23日被终止，即在发现未经授权的访问后35分钟内。攻击者创建的用户帐户在48分钟后被发现并被停用。

Cloudflare表示，它还制定了防火墙规则来阻止攻击者的已知IP地址，并且Sliver Adversary Emulation Framework已于11月24日被删除。

该公司表示：“在这段时间内，威胁行为者试图访问Cloudflare的无数其他系统，但由于我们的访问控制、防火墙规则以及使用我们自己的零信任工具强制使用的硬安全密钥而失败。”

Cloudflare表示，没有发现任何证据表明威胁行为者访问了其全球网络、客户数据库、配置信息、数据中心、SSL密钥、客户部署的工作人员或除“Atlassian套件和服务器中的数据”之外的任何其他信息。我们的Atlassian就在其上运行”。

11月24日，Cloudflare还要求众多技术员工提高安全性并验证威胁行为者无法再访问公司的系统。

该公司指出：“此外，我们继续调查每个系统、帐户和日志，以确保威胁行为者没有持续访问权限，并且我们完全了解他们接触了哪些系统以及他们试图访问哪些系统。”

据Cloudflare称，事件发生后，超过5,000个单独的生产凭证被轮换，对近5,000个系统进行了分类，对测试和登台系统进行了物理分段，并且对Cloudflare全球网络中的每台计算机进行了重新映像和重新启动。

圣保罗数据中心的设备虽然没有被访问，但已被送回制造商进行检查和更换，尽管没有发现损坏的证据。

Cloudflare表示，此次攻击的目的是获取有关公司基础设施的信息，从而可能获得更深的立足点。CrowdStrike对该事件进行了单独调查，但没有发现其他泄露的证据。

“我们相信，通过我们的调查和CrowdStrike的调查，我们完全了解威胁行为者的行为，并且他们仅限于我们看到其活动的系统，”Cloudflare指出。