Cloudflare hackerata: perché e da chi?

(di Alessandro Rugolo)
04/03/24

All'inizio del mese di febbraio è uscita la notizia dell'hackeraggio di Cloudflare. Nei titoli delle riviste si leggeva che la società Cloudflare, gigante statunitense della sicurezza in rete, era stata hackerata da un probabile gruppo "State sponsored". 

L'attacco, secondo Security Week, è avvenuto attraverso l'impiego di credenziali sottratte nel corso di un precedente attacco (Okta hack). Okta, fornitore di servizi di sicurezza e identità on-line, era stata hackerata presumibilmente nel mese di settembre ed aveva denunciato la perdita di dati riguardanti i propri clienti. 

Sempre dall'articolo di Security Week di inizio febbraio si apprende che le informazioni di login rubate nel corso dell'attacco ad Okta non erano state sostituite, consentendo all'attaccante di accedere ai sistemi Cloudflare a partire dal 14 novembre.

Già da quanto sappiamo fino ad ora, dovremmo cominciare a porci qualche domanda:

  1. se una società di sicurezza riceve la notifica di una avvenuta perdita di dati di accesso che la riguarda, perchè non procede a disabilitarli immediatamente?
  2. perchè tirare in ballo uno "State Actor" per un tentativo di hackeraggio basato banalmente sull'impiego di credenziali rubate e ancora attive?

Due domande la cui risposta non è banale.

Proseguiamo. 

Sempre secondo Cloudflare l'attaccante ha avuto accesso a diversi sistemi interni: 

- un ambiente AWS;

- i sistemi Jira e Confluence, di Atlassian, due sistemi di collaboration avanzata usati da Cloudflare. Jira in particolare è impiegato per gestire i bug dei sistemi.

Sempre secondo le dichiarazioni della società, l'attaccante si è potuto muovere all'interno dell'ambiente di lavoro e ha avuto accesso a 120 repositories di codice. Se li abbia scaricati o meno non è chiaro. Fatto sta che i documenti cui ha avuto accesso riguardavano le modalità di funzionamento dei backup, la configurazione e gestione della rete globale Cloudflare, l'accesso remoto e l'uso di Terraform (per farla semplice un sistema di gestione di infrastrutture informatiche) e di Kubernetes (per la gestione dei carichi di lavoro e servizi).

L'hacker è stato identificato solo il 23 novembre, dunque dopo circa 10 giorni, durante i quali è anche riuscito ad installare del software all'interno della rete di Cloudflare, un tool di red teaming che si chiama Sliver, un Adversary Emulation Framework ed è open source e liberamente scaricabile da GitHub.

Detto questo passiamo a cercare di rispondere alle due domande poste poco sopra:

- la risposta alla prima è abbastanza semplice, le società sono fatte di esseri umani che hanno i loro tempi, i loro problemi e che commettono errori. Chi doveva occuparsene probabilmente ha sottovalutato la cosa o magari, più semplicemente, era in vacanza o in altre faccende affaccendato! Il risultato lo conoscete.

- alla seconda domanda è più difficile rispondere. Da un punto di vista di esposizione mediatica è più facile giùstificare una mancanza se il colpevole è uno Stato avversario, più difficile giustificare l'accaduto se si scoprisse che l'attaccante è un ragazzino di quindici anni alle prime armi. Inoltre la situazione internazionale degli Stati Uniti e la posizione di Cloudflare come fornitore globale di servizi di sicurezza ne fa una vittima ideale per chiunque voglia rivendicare l'attacco. 

Purtroppo, a mio parere, è difficile asserire che l'attacco è stato "State sponsored" per diversi motivi. Un attacco "State sponsored" sarebbe stato in qualche modo rivendicato. Inoltre, dalla lettura dei vari articoli sembra che l'attaccante si sia preso una pausa il giorno del "Thanksgiving", il 23 novembre, probabilmente perchè impegnato nei festeggiamenti con la famiglia!

Allora diamo tempo al tempo. Magari più avanti salterà fuori qualcosa che ci permetterà di capire cosa sia successo.

P.S. Per i più curiosi ho inserito diversi link a piè pagina da cui si possono anche intuire i danni provocati da questo attacco in termini di attività di controllo, in pratica di soldi spesi!

Buona lettura.

Per approfondire:

- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponso...

https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole...

- https://www.atlassian.com/software/confluence/jira-integration

- https://developers.cloudflare.com/terraform/ 

- https://bishopfox.com/tools/sliver

- https://blog.cloudflare.com/thanksgiving-2023-security-incident