Vụ việc được phát hiện vào ngày 23/11/2023, thời điểm 9 ngày sau khi những kẻ tấn công được cho là do nhà nước bảo trợ, đã sử dụng thông tin đăng nhập từng bị xâm phạm trong vụ tấn công mạng nhắm đến công ty ứng dụng xác thực Okta (Mỹ) xảy ra vào tháng 10/2023 để truy cập cơ sở dữ liệu và wiki nội bộ của Cloudflare.
Cloudflare cho biết, thông tin đăng nhập bị đánh cắp, mã thông báo truy cập và thông tin xác thực tài khoản dịch vụ đã không được xử lý triệt để sau sự cố Okta, cho phép tin tặc thăm dò và thực hiện trinh sát hệ thống Cloudflare bắt đầu từ ngày 14/11/2023. Những tin tặc đã truy cập được vào môi trường AWS, cũng như hai nền tảng của Atlassian là Jira và Confluence, nhưng vì chặn phân đoạn mạng đã ngăn chúng truy cập vào phiên bản Okta và bảng điều khiển Cloudflare của nó.
Với quyền truy cập vào nền tảng Atlassian, tin tặc bắt đầu tìm kiếm thông tin trên mạng Cloudflare và trên wiki những từ khóa như: “remote access”, “secret”, “client-secret”, “openconnect”, “cloudflared” và “token”. Tổng cộng 202 trang wiki đã được truy cập.
Ngày 22/11/2023, tin tặc đã cài đặt Sliver Adversary Emulation Framework để giành quyền truy cập liên tục vào máy chủ Atlassian, sau đó được sử dụng để di chuyển ngang hàng trong hệ thống mạng. Sau đó chúng đã cố gắng truy cập vào một máy chủ trung tâm dữ liệu tại São Paulo, Brazil và đã thực hiện tải 76 trong số 120 kho lưu trữ mã nguồn xuống máy chủ Atlassian, nhưng không thành công.
Đại diện phía Cloudflare lưu ý rằng: “76 kho lưu trữ mã nguồn hầu hết đều liên quan đến cách hoạt động của các bản sao lưu, cấu hình và quản lý mạng toàn cầu, cách nhận dạng hoạt động tại Cloudflare, truy cập từ xa và việc sử dụng Terraform và Kubernetes của chúng tôi. Một số lượng nhỏ các kho lưu trữ chứa các bí mật được mã hóa đã được điều chuyển ngay lập tức mặc dù bản thân chúng đã được mã hóa mạnh”.
Tin tặc đã sử dụng tài khoản dịch vụ Smartsheet để truy cập nền tảng Atlassian của Cloudflare và tài khoản này đã bị chấm dứt hoạt động vào ngày 23/11/2023, trong vòng 35 phút sau khi xác định được hành vi truy cập trái phép. Bên cạnh đó, tài khoản người dùng do tin tặc tạo ra đã được tìm thấy và vô hiệu hóa 48 phút sau đó.
Cloudflare đã đưa ra các tập luật tường lửa để ngăn chặn các địa chỉ IP đã biết của tin tặc và Sliver Adversary Emulation Framework đã bị xóa vào ngày 24/11/2023. Công ty cho biết: “Trong suốt khoảng thời gian này, các tin tặc đã cố gắng truy cập vô số hệ thống khác tại Cloudflare nhưng không thành công do các biện pháp kiểm soát truy cập, tập luật tường lửa và việc sử dụng khóa bảo mật cứng được thực thi bằng công cụ Zero Trust”.
Các nhà nghiên cứu đã không tìm thấy bằng chứng nào cho thấy các tin tặc đã truy cập vào dữ liệu mạng toàn cầu, cơ sở dữ liệu khách hàng, thông tin cấu hình, trung tâm dữ liệu, khóa SSL hoặc bất kỳ thông tin nào khác ngoại trừ dữ liệu các máy chủ chạy các nền tảng của Atlassian.
Vào ngày 24/11/2023, Cloudflare xác nhận rằng tin tặc không thể truy cập vào hệ thống của công ty nữa. Đồng thời, công ty sẽ tiếp tục điều tra mọi hệ thống, tài khoản và nhật ký để đảm bảo tin tặc không thể có quyền truy cập vào hệ thống được nữa.
Cloudflare cho biết mục tiêu của cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng của công ty, từ đó có khả năng duy trì sự bền vững trong hệ thống, đồng thời đánh giá: “Đây là một sự cố tấn công mạng liên quan đến một tác nhân tinh vi, có thể từ các nhóm tin tặc được nhà nước bảo trợ. Những nỗ lực mà Cloudflare đã thực hiện để đảm bảo rằng tác động hiện tại của vụ việc được hạn chế tối thiểu và chuẩn bị sẵn sàng nhằm chống lại bất kỳ các cuộc mối đe dọa nào khác trong tương lai”. Công ty an ninh mạng CrowdStrike (Mỹ) cũng đã thực hiện một cuộc điều tra riêng về vụ việc nhưng không phát hiện ra bằng chứng nào về sự thỏa hiệp bổ sung.
Thuỳ Anh
(Tổng hợp)
15:00 | 19/02/2024
15:00 | 26/01/2024
10:00 | 21/02/2024
08:00 | 08/01/2024
15:00 | 18/12/2023
15:00 | 25/03/2024
10:00 | 30/08/2024
Ngày 20/8, Tòa phúc thẩm liên bang tại California, Mỹ đã ra phán quyết khôi phục vụ kiện của những người dùng trình duyệt Chrome, trong đó cáo buộc Google thu thập trái phép dữ liệu cá nhân thông qua tính năng Sync.
09:00 | 09/08/2024
Trong thời đại kỹ thuật số, các ứng dụng hẹn hò đã dần trở thành một phần của cuộc sống hiện đại, đặc biệt là với thế hệ trẻ. Những ứng dụng này là kho dữ liệu khổng lồ chứa các thông tin nhạy cảm của hàng triệu người dùng. Cũng bắt đầu từ đây xuất hiện những lo ngại về nguy cơ dữ liệu người dùng bị rò rỉ cũng như các ứng dụng hẹn hò trở thành mảnh đất màu mỡ để các tin tặc có thể khai thác. Bài viết này sẽ phân tích các mối đe dọa bảo mật phổ biến và các giải pháp thực tế để bảo vệ dữ liệu người dùng trong các ứng dụng hẹn hò hiện nay.
09:00 | 19/07/2024
Bộ Thông tin và Truyền thông (TT&TT) đã ban hành văn bản công bố danh sách các nền tảng số quốc gia do các Bộ, ngành triển khai trên toàn quốc để phục vụ công tác khai thác, tránh trùng lặp. Trong đó có nền tảng số quốc gia Hệ thống chứng thực chữ ký số chuyên dùng công vụ của Ban Cơ yếu Chính phủ - Bộ Quốc phòng đang triển khai thực hiện Quản lý thuê bao và yêu cầu chứng thực; Phục vụ kiểm tra trạng thái chứng thư chữ ký số trực tuyến; Cấp dấu thời gian phục vụ ký số, xác thực; Hạ tầng phục vụ ký số trên thiết bị di động (SIM-PKI); Hạ tầng phục vụ ký số tập trung.
14:00 | 10/07/2024
Mới đây, các chuyên gia đã phát hiện năm lỗ hổng trong Bludit - một hệ thống quản lý nội dung mã nguồn mở được sử dụng rộng rãi bởi nhiều trang web và blog. Trong số đó, hai lỗ hổng nghiêm trọng, cho phép thực thi mã từ xa (RCE), có khả năng cho phép kẻ tấn công kiểm soát hoàn toàn các trang web bị ảnh hưởng.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
"Gã khổng lồ" thương mại điện tử Alibaba vừa giới thiệu phiên bản nâng cấp của công cụ dịch thuật trí tuệ nhân tạo (AI) Marco MT, với khả năng vượt trội hơn hẳn so với các đối thủ như Google, DeepL và ChatGPT.
10:00 | 27/10/2024
