소스 코드 및 내부 문서에 액세스하는 의심되는 국가 후원 위협 행위자에 의해 Cloudflare 침해

잘 알려진 웹 보안 회사이자 콘텐츠 전송 네트워크인 Cloudflare는 최근 국가 후원 위협 행위자로 의심되는 사람이 조직한 우려스러운 보안 침해 사건을 공개했습니다. 11월 23일에 공개된 이 사건은 2023년 10월 Okta 해킹으로 인해 처음에 손상된 자격 증명을 도난당한 자격 증명을 통해 내부 시스템에 대한 무단 액세스와 관련이 있었습니다.

도난당한 자격 증명 악용

위협 행위자는 이러한 자격 증명을 악용하여 Cloudflare의 내부 Wiki 및 버그 데이터베이스에 침투하여 11월 14일부터 정찰 활동을 수행했습니다. 특정 중요 시스템에 대한 액세스를 방해하는 네트워크 분할에도 불구하고 공격자는 Cloudflare의 AWS 환경과 Jira 및 Confluence를 포함한 Atlassian 제품군에 침투했습니다.

Atlassian 제품군 내에서 공격자는 "원격 액세스", "비밀", "토큰"과 같은 키워드에 중점을 두고 Cloudflare의 네트워크 인프라와 관련된 정보를 샅샅이 뒤졌습니다. 지속적인 액세스를 보장하기 위해 영구 Atlassian 계정도 만들었습니다. 또한 그들은 추가 액세스 권한을 얻기 위해 Sliver Adversary Emulation Framework를 배포하고 브라질 상파울루에 있는 비운영 데이터 센터에 침입을 시도했습니다.

Cloudflare의 신속한 실행 계획

공격자가 소스 코드 저장소에 액세스하여 다운로드하는 동안 Cloudflare는 암호화된 비밀을 교체하고 승인되지 않은 계정을 종료하는 방식으로 즉시 대응했습니다. 공격자의 IP 주소를 차단하기 위해 방화벽 규칙이 구현되었으며, Cloudflare의 글로벌 네트워크 내 모든 시스템의 이미지 재설치 및 재부팅을 포함한 광범위한 보안 조치가 취해졌습니다.

Cloudflare와 CrowdStrike의 철저한 조사에도 불구하고 액세스된 시스템 이외의 추가 손상을 시사하는 증거는 없습니다. 회사는 향후 침해를 방지하고 정교한 위협으로부터 인프라를 보호하기 위해 보안 조치를 지속적으로 개선하면서 경계심을 늦추지 않고 있습니다.