Cloudflare hackeado: ¿por qué y por quién?

(Para Alessandro Rugolo)
04/03/24

A principios de febrero la noticia del hackeo de Cloudflare. En los títulos de las revistas leemos que la empresa Cloudflare, un gigante estadounidense de la seguridad de redes, había sido pirateado por un grupo probablemente "patrocinado por el Estado". 

El ataque, segundo Semana de seguridad, ocurrió mediante el uso de credenciales robadas durante un ataque anterior (hack de Okta). Okta, un proveedor de servicios de identidad y seguridad en línea, supuestamente fue pirateado en septiembre y denunció la pérdida de datos de sus clientes. 

Nuevamente del artículo de Semana de seguridad a principios de febrero supimos que la información de Inicie sesión robado durante el ataque a Okta no había sido reemplazado, lo que permitió al atacante acceder a los sistemas Cloudflare A partir de noviembre 14.

Por lo que sabemos hasta ahora, deberíamos empezar a hacernos algunas preguntas:

  1. Si una empresa de seguridad recibe una notificación de una pérdida de datos de acceso que le afecta, ¿por qué no procede a inhabilitarla inmediatamente?
  2. ¿Por qué poner en juego a un "actor estatal" en un intento de piratería basado trivialmente en el uso de credenciales robadas y aún activas?

Dos preguntas cuya respuesta no es baladí.

Continuamos. 

Siempre de acuerdo con Cloudflare el atacante tuvo acceso a varios sistemas internos: 

- un entorno AWS;

- los sistemas Jira e Confluencia, de Atlassian, dos sistemas de colaboración avanzada usado por Cloudflare. Jira en particular se utiliza para gestionar errores del sistema.

Nuevamente según declaraciones de la empresa, el atacante pudo moverse dentro del entorno laboral y tuvo acceso a 120 repositorios de código. No está claro si los descargó o no. El hecho es que los documentos a los que tuvo acceso se referían a los métodos de funcionamiento de la copia de seguridad, la configuración y gestión de la red global Cloudflare, acceso remoto y el uso de Terraform (en pocas palabras, un sistema de gestión de infraestructura de TI) y Kubernetes (para gestionar cargas de trabajo y servicios).

El pirata informático no fue identificado hasta el 23 de noviembre, es decir, después de unos 10 días, durante los cuales también logró instalar software dentro de la red. Cloudflare, una herramienta equipo rojo eso se llama Astilla, un Marco de emulación del adversario Es de código abierto y se puede descargar gratuitamente desde GitHub.

Dicho esto, pasemos a intentar dar respuesta a las dos preguntas planteadas anteriormente:

- La respuesta a la primera es bastante sencilla, las sociedades están formadas por seres humanos que tienen sus tiempos, sus problemas y que cometen errores. Quien tuvo que lidiar con esto probablemente subestimó el asunto o quizás, más simplemente, ¡estaba ocupado de vacaciones o con otros asuntos! Ya sabes el resultado.

- la segunda pregunta es más difícil de responder. Desde el punto de vista de la exposición mediática, es más fácil justificar un fracaso si el culpable es un Estado contrario, más difícil justificar lo sucedido si resulta que el atacante es un novato de quince años. Además, la situación internacional de Estados Unidos y la posición de Cloudflare como proveedor global de servicios de seguridad lo convierten en una víctima ideal para cualquiera que quiera responsabilizarse del ataque. 

Lamentablemente, en mi opinión, es difícil afirmar que el ataque fue "patrocinado por el Estado" por varias razones. De algún modo se afirmaría que se trata de un ataque "patrocinado por el Estado". Además, al leer los distintos artículos parece que el atacante se tomó un descanso el día del "Acción de Gracias", el 23 de noviembre, ¡probablemente porque estaba ocupado celebrando con su familia!

Así que démosle tiempo. Quizás más adelante surja algo que nos permita entender lo sucedido.

PD Para los más curiosos he incluido varios enlaces al pie de la página desde los cuales también se puede entender el daño causado por este ataque en términos de actividades de control, ¡en la práctica del dinero gastado!

Feliz lectura.

Para saber más:

- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponso...

https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole...

- https://www.atlassian.com/software/confluence/jira-integration

- https://developers.cloudflare.com/terraform/ 

- https://bishopfox.com/tools/sliver

- https://blog.cloudflare.com/thanksgiving-2023-security-incident

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia