Cyberangriff: Okta-Beute ließ Hacker Systeme von Cloudflare infiltrieren
Der US-Technologiekonzern Cloudflare hat bekannt gegeben, im November 2023 Ziel eines Cyberangriffs geworden zu sein, bei dem sich Angreifer mit von Okta erbeuteten Daten Zugriff auf interne Systeme des Unternehmens verschafft hätten. Betroffen waren laut einem Blogbeitrag des Konzerns vom Donnerstag(öffnet im neuen Fenster) ein internes Wiki auf Basis von Atlassian Confluence, eine Jira-basierte Fehlerdatenbank sowie ein Bitbucket-basiertes Quellcodeverwaltungssystem.
Der Angriff begann demnach am 14. November durch erste, aber zunächst gescheiterte Zugriffsversuche auf verschiedene Cloudflare-Systeme. Später gelang es den Angreifern jedoch, auf das interne Wiki und die Fehlerdatenbank des Konzerns zuzugreifen. Zwischen dem 17. und dem 20. November gab es laut Cloudflare eine Pause, in dieser Zeit hätten Akteure nicht weiter auf die bereits infiltrierten Systeme zugegriffen.
Danach sei es wieder vereinzelt zu Zugriffsversuchen gekommen, vermutlich um festzustellen, ob der Verbindungsaufbau noch möglich sei. Am 22. November hätten sich die Angreifer dann einen persistenten Zugang zu Cloudflares Atlassian-Server sowie dem Bitbucket-Quellcodeverwaltungssystem verschafft.
Angriff entdeckt, eingedämmt und analysiert
Cloudflare entdeckte den Angriff nach eigenen Angaben am 23. November und sperrte die Angreifer unmittelbar aus. Ein von den Eindringlingen erstelltes Atlassian-Konto sei deaktiviert und die mit dem Angriff verbundenen IP-Adressen durch neue Firewall-Regeln gesperrt worden. Der letzte bekannte Zugriff der Angreifer sei am 24. November um 10:44 Uhr (UTC) erfolgt.
Am 26. November habe Cloudflare außerdem das Forensikteam von Crowdstrike hinzugezogen, um den Vorfall unabhängig analysieren zu lassen. Die Untersuchungen seien nun abgeschlossen.
Ermöglicht wurde der Angriff wohl durch ein Zugangstoken sowie Anmeldeinformationen für drei unternehmensinterne Dienstkonten. Diese Daten seien im Oktober 2023 von dem Identitätsdienst Okta entwendet worden, erklärte Cloudflare. Auch der weitverbreitete Passwortmanager 1Password stellte nach dem damaligen Angriff auf Okta verdächtige Aktivitäten auf seinen eigenen Systemen fest .
Kunden sind angeblich nicht betroffen
Cloudflare betonte, es seien keine Daten oder Systeme seiner Kunden von dem Vorfall betroffen. Aufgrund der Zero-Trust-Architektur des Konzerns sei die Fähigkeit der Angreifer, weitere Systeme zu infiltrieren, begrenzt gewesen. "Es waren keine Dienste betroffen, und es wurden keine Änderungen an unseren globalen Netzwerksystemen oder deren Konfiguration vorgenommen."
Wer genau hinter dem Angriff steckt, ist noch unklar. Cloudflare äußerte sich diesbezüglich nur vage und erklärte, es handle sich "wahrscheinlich um einen staatlich unterstützten Akteur" .