Cloudflare repele tentativa de ciberataque à datacenter próprio em São Paulo

De acordo com publicação feita no blog da companhia, o agente hostil, apontado como possivelmente um Estado-nação, fazia movimentações laterais e testava os sistemas de segurança da companhia em todo o mês de novembro de 2023, até que finalmente buscou acessar, sem sucesso, a estrutura estabelecida no país, que ainda não estava em atividade. A empresa reforçou que nenhum dado ou sistema relacionado aos clientes foi impactado

Compartilhar:

No último dia 23 de novembro, a Cloudflare detectou um agente de ameaça em seus servidores auto-hospedados da Atlassian. Uma vez detectada essa brecha de segurança, a equipe responsável iniciou imediatamente uma investigação, cortou o acesso do agente e, no domingo, 26 de novembro, convocou a equipe forense da CrowdStrike para realizar sua própria análise independente.

 

Tal análise foi concluída nessa semana, e as informações descobertas foram postas ao público por meio do blog oficial da Cloudflare. De acordo com a descoberta, De 14 a 21 de novembro, a anomalia seguiu fazendo reconhecimentos na wiki interna e no banco de dados de bugs da empresa, além de testar acessos para garantir conectividade na rede.

 

Finalmente, no dia 22, o invasor estabeleceu acesso persistente ao servidor Atlassian, obteve acesso ao sistema de gerenciamento de código-fonte e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center. Todos os acessos e conexões de agentes de ameaças foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaças foi nesse mesmo dia.

 

“Queremos enfatizar que nenhum dado ou sistema de cliente da Cloudflare foi afetado por esse evento. Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas de Zero Trust, a capacidade do agente de ameaça de se mover lateralmente foi limitada. Nenhum serviço foi afetado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global”, confirmou a Cloudflare na postagem.

 

Mesmo assim, a corporação disse ser esse um incidente de extrema gravidade, considerando o preocupante avanço dele até uma quantidade limitada de código fonte. Por isso, a companhia mobilizou grande parte de seu estafe para se dedicar ao projeto intitulado “Code Red”.

 

uma vez que um agente de ameaça se aproveitou de credenciais roubadas para obter acesso ao servidor da Atlassian e ter contato com alguma documentação e uma quantidade limitada de código-fonte. O foco era fortalecer, validar e corrigir qualquer controle no ambiente para garantir segurança contra futuras invasões e validar que o agente hostil não poderia obter novo acesso.

 

“Para garantir que esses sistemas estivessem 100% seguros, os equipamentos do data center do Brasil foram devolvidos aos fabricantes. As equipes forenses deles examinaram todos os sistemas para garantir que nenhum acesso ou persistência fosse obtido. Nada foi encontrado, mas substituímos o hardware mesmo assim”, alertou ainda a nota.

 

O esforço imediato do “Code Red” terminou em 5 de janeiro, mas o trabalho seguiu em toda a empresa em relação ao gerenciamento de credenciais, fortalecimento de software, gerenciamento de vulnerabilidades, alertas adicionais, entre outros. “Com base em nossa colaboração com colegas do setor e do governo, acreditamos que esse ataque foi realizado por um invasor de Estado-Nação, com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”, encerra o posicionamento.

 

Conteúdos Relacionados

Security Report | Overview

AI Act: Quais novos padrões globais podem ser definidos com a lei europeia?

Lei de IA da União Europeia sinaliza tendência regulatória que pode impactar o Brasil e outros países
Security Report | Overview

Identidade comprometida responde por 90% do acesso inicial à infraestrutura crítica

Relatório da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) reforça fragilidade da gestão e da segurança em...
Security Report | Overview

Aurora Coop otimiza cibersegurança em 30% com projeto de resposta a incidentes

Empresa colhe os frutos da adoção bem-sucedida de tecnologia da CrowdStrike, que aprimorou a visibilidade do ambiente e o tempo...
Security Report | Overview

Gartner: 75% das empresas vão priorizar backup de aplicativos SaaS até 2028

Risco de interrupções de TI destaca a necessidade de cópia e de sistemas contínuos de recuperação de dados críticos empresariai