Cloudflare repele tentativa de ciberataque à datacenter próprio em São Paulo

De acordo com publicação feita no blog da companhia, o agente hostil, apontado como possivelmente um Estado-nação, fazia movimentações laterais e testava os sistemas de segurança da companhia em todo o mês de novembro de 2023, até que finalmente buscou acessar, sem sucesso, a estrutura estabelecida no país, que ainda não estava em atividade. A empresa reforçou que nenhum dado ou sistema relacionado aos clientes foi impactado

Compartilhar:

No último dia 23 de novembro, a Cloudflare detectou um agente de ameaça em seus servidores auto-hospedados da Atlassian. Uma vez detectada essa brecha de segurança, a equipe responsável iniciou imediatamente uma investigação, cortou o acesso do agente e, no domingo, 26 de novembro, convocou a equipe forense da CrowdStrike para realizar sua própria análise independente.

 

Tal análise foi concluída nessa semana, e as informações descobertas foram postas ao público por meio do blog oficial da Cloudflare. De acordo com a descoberta, De 14 a 21 de novembro, a anomalia seguiu fazendo reconhecimentos na wiki interna e no banco de dados de bugs da empresa, além de testar acessos para garantir conectividade na rede.

 

Finalmente, no dia 22, o invasor estabeleceu acesso persistente ao servidor Atlassian, obteve acesso ao sistema de gerenciamento de código-fonte e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center. Todos os acessos e conexões de agentes de ameaças foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaças foi nesse mesmo dia.

 

“Queremos enfatizar que nenhum dado ou sistema de cliente da Cloudflare foi afetado por esse evento. Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas de Zero Trust, a capacidade do agente de ameaça de se mover lateralmente foi limitada. Nenhum serviço foi afetado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global”, confirmou a Cloudflare na postagem.

 

Mesmo assim, a corporação disse ser esse um incidente de extrema gravidade, considerando o preocupante avanço dele até uma quantidade limitada de código fonte. Por isso, a companhia mobilizou grande parte de seu estafe para se dedicar ao projeto intitulado “Code Red”.

 

uma vez que um agente de ameaça se aproveitou de credenciais roubadas para obter acesso ao servidor da Atlassian e ter contato com alguma documentação e uma quantidade limitada de código-fonte. O foco era fortalecer, validar e corrigir qualquer controle no ambiente para garantir segurança contra futuras invasões e validar que o agente hostil não poderia obter novo acesso.

 

“Para garantir que esses sistemas estivessem 100% seguros, os equipamentos do data center do Brasil foram devolvidos aos fabricantes. As equipes forenses deles examinaram todos os sistemas para garantir que nenhum acesso ou persistência fosse obtido. Nada foi encontrado, mas substituímos o hardware mesmo assim”, alertou ainda a nota.

 

O esforço imediato do “Code Red” terminou em 5 de janeiro, mas o trabalho seguiu em toda a empresa em relação ao gerenciamento de credenciais, fortalecimento de software, gerenciamento de vulnerabilidades, alertas adicionais, entre outros. “Com base em nossa colaboração com colegas do setor e do governo, acreditamos que esse ataque foi realizado por um invasor de Estado-Nação, com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”, encerra o posicionamento.

 

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...