Cloudflare repele tentativa de ciberataque à datacenter próprio em São Paulo

De acordo com publicação feita no blog da companhia, o agente hostil, apontado como possivelmente um Estado-nação, fazia movimentações laterais e testava os sistemas de segurança da companhia em todo o mês de novembro de 2023, até que finalmente buscou acessar, sem sucesso, a estrutura estabelecida no país, que ainda não estava em atividade. A empresa reforçou que nenhum dado ou sistema relacionado aos clientes foi impactado

Compartilhar:

No último dia 23 de novembro, a Cloudflare detectou um agente de ameaça em seus servidores auto-hospedados da Atlassian. Uma vez detectada essa brecha de segurança, a equipe responsável iniciou imediatamente uma investigação, cortou o acesso do agente e, no domingo, 26 de novembro, convocou a equipe forense da CrowdStrike para realizar sua própria análise independente.

 

Tal análise foi concluída nessa semana, e as informações descobertas foram postas ao público por meio do blog oficial da Cloudflare. De acordo com a descoberta, De 14 a 21 de novembro, a anomalia seguiu fazendo reconhecimentos na wiki interna e no banco de dados de bugs da empresa, além de testar acessos para garantir conectividade na rede.

 

Finalmente, no dia 22, o invasor estabeleceu acesso persistente ao servidor Atlassian, obteve acesso ao sistema de gerenciamento de código-fonte e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center. Todos os acessos e conexões de agentes de ameaças foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaças foi nesse mesmo dia.

 

“Queremos enfatizar que nenhum dado ou sistema de cliente da Cloudflare foi afetado por esse evento. Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas de Zero Trust, a capacidade do agente de ameaça de se mover lateralmente foi limitada. Nenhum serviço foi afetado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global”, confirmou a Cloudflare na postagem.

 

Mesmo assim, a corporação disse ser esse um incidente de extrema gravidade, considerando o preocupante avanço dele até uma quantidade limitada de código fonte. Por isso, a companhia mobilizou grande parte de seu estafe para se dedicar ao projeto intitulado “Code Red”.

 

uma vez que um agente de ameaça se aproveitou de credenciais roubadas para obter acesso ao servidor da Atlassian e ter contato com alguma documentação e uma quantidade limitada de código-fonte. O foco era fortalecer, validar e corrigir qualquer controle no ambiente para garantir segurança contra futuras invasões e validar que o agente hostil não poderia obter novo acesso.

 

“Para garantir que esses sistemas estivessem 100% seguros, os equipamentos do data center do Brasil foram devolvidos aos fabricantes. As equipes forenses deles examinaram todos os sistemas para garantir que nenhum acesso ou persistência fosse obtido. Nada foi encontrado, mas substituímos o hardware mesmo assim”, alertou ainda a nota.

 

O esforço imediato do “Code Red” terminou em 5 de janeiro, mas o trabalho seguiu em toda a empresa em relação ao gerenciamento de credenciais, fortalecimento de software, gerenciamento de vulnerabilidades, alertas adicionais, entre outros. “Com base em nossa colaboração com colegas do setor e do governo, acreditamos que esse ataque foi realizado por um invasor de Estado-Nação, com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”, encerra o posicionamento.

 

Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...