Cloudflare repele tentativa de ciberataque à datacenter próprio em São Paulo

De acordo com publicação feita no blog da companhia, o agente hostil, apontado como possivelmente um Estado-nação, fazia movimentações laterais e testava os sistemas de segurança da companhia em todo o mês de novembro de 2023, até que finalmente buscou acessar, sem sucesso, a estrutura estabelecida no país, que ainda não estava em atividade. A empresa reforçou que nenhum dado ou sistema relacionado aos clientes foi impactado

Compartilhar:

No último dia 23 de novembro, a Cloudflare detectou um agente de ameaça em seus servidores auto-hospedados da Atlassian. Uma vez detectada essa brecha de segurança, a equipe responsável iniciou imediatamente uma investigação, cortou o acesso do agente e, no domingo, 26 de novembro, convocou a equipe forense da CrowdStrike para realizar sua própria análise independente.

 

Tal análise foi concluída nessa semana, e as informações descobertas foram postas ao público por meio do blog oficial da Cloudflare. De acordo com a descoberta, De 14 a 21 de novembro, a anomalia seguiu fazendo reconhecimentos na wiki interna e no banco de dados de bugs da empresa, além de testar acessos para garantir conectividade na rede.

 

Finalmente, no dia 22, o invasor estabeleceu acesso persistente ao servidor Atlassian, obteve acesso ao sistema de gerenciamento de código-fonte e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center. Todos os acessos e conexões de agentes de ameaças foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaças foi nesse mesmo dia.

 

“Queremos enfatizar que nenhum dado ou sistema de cliente da Cloudflare foi afetado por esse evento. Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas de Zero Trust, a capacidade do agente de ameaça de se mover lateralmente foi limitada. Nenhum serviço foi afetado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global”, confirmou a Cloudflare na postagem.

 

Mesmo assim, a corporação ser esse um incidente de extrema gravidade, considerando o preocupante avanço dele até uma quantidade limitada de código fonte. Por isso, a companhia mobilizou grande parte de seu estafe para se dedicar ao projeto intitulado “Code Red”.

 

uma vez que um agente de ameaça se aproveitou de credenciais roubadas para obter acesso ao servidor da Atlassian e ter contato com alguma documentação e uma quantidade limitada de código-fonte. O foco era fortalecer, validar e corrigir qualquer controle no ambiente para garantir segurança contra futuras invasões e validar que o agente hostil não poderia obter novo acesso.

 

“Para garantir que esses sistemas estivessem 100% seguros, os equipamentos do data center do Brasil foram devolvidos aos fabricantes. As equipes forenses deles examinaram todos os sistemas para garantir que nenhum acesso ou persistência fosse obtido. Nada foi encontrado, mas substituímos o hardware mesmo assim”, alertou ainda a nota.

 

O esforço imediato do “Code Red” terminou em 5 de janeiro, mas o trabalho seguiu em toda a empresa em relação ao gerenciamento de credenciais, fortalecimento de software, gerenciamento de vulnerabilidades, alertas adicionais, entre outros. “Com base em nossa colaboração com colegas do setor e do governo, acreditamos que esse ataque foi realizado por um invasor de Estado-Nação, com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”, encerra o posicionamento.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

ANPD volta a defender protagonismo na regulamentação da IA

Em evento organizado pela PUC-Rio, a diretora Miriam Wimmer lembrou que a Lei Geral de Proteção de Dados atribui à...
Security Report | Overview

MPF do Brasil participa de curso internacional sobre combate à Cibercriminalidade

Treinamento teve como objetivo proporcionar novas competências práticas na investigação de crimes cometidos pela internet...
Security Report | Overview

Dark Web: ambiente profundo é o Pré-Sal do Cibercrime de dados?

Da mesma forma que a reserva petrolífera na costa brasileira se tornou essencial à economia de combustíveis fósseis do país,...
Security Report | Overview

42% dos consumidores tiveram contato com ciberataques em mobile

A pesquisa da Appdome ressalta que tanto os próprios usuários quanto pessoas próximas a eles entraram no radar do Cibercrime....