Cloudflare çalışanları kısa süre önce “sofistike” bir siber saldırının hedefi oldu ve bazıları plana düşse de DDoS koruma şirketi kendini başarıyla savunmayı başardı.
İçinde Blog yazısı (yeni sekmede açılır)Cloudflare kurucu ortağı Matthew Prince, ekip üyeleri Daniel Stinson-Diess ve Sourov Zaman ile birlikte saldırının nasıl olduğunu ve başarı ile başarısızlık arasındaki farkı neyin yarattığını anlattı.
Tehdit aktörü, saldırı öncesinde birkaç önemli hazırlık yaptı: meşru görünen ve birçok kurbanı kandıracak bir alan adı kaydettiler: cloudflare-okta.com. Okta, Cloudflare’nin kimlik sağlayıcısıdır. Ayrıca bir şekilde neredeyse 80 Cloudflare çalışanının ve bazılarının aile üyelerinin telefon numaralarını almayı başardılar.
Zamana dayalı parolalar ve güvenlik anahtarları
Saldırıdan sonra Cloudflare, tehdit aktörlerinin bu telefon numaralarını nasıl elde ettiğini anlamaya çalıştı, ancak çalışan dizinlerine erişim günlüklerinin hiçbir uzlaşma belirtisi göstermediği göz önüne alındığında boş çıktı.
Ardından, orijinal Okta giriş sayfasına benzeyen bir kimlik avı sayfası oluşturdular ve bunu DigitalOcean’da barındırdılar. Ayrıca sayfayı, gönderilen oturum açma kimlik bilgilerinin gerçek zamanlı olarak Telegram aracılığıyla saldırganlara gönderileceği şekilde ayarladılar. Bu şekilde, dolandırıcılar onları hemen gerçek Okta giriş sayfasına gönderebilecek ve kurbanlardan herhangi bir iki faktörlü kimlik doğrulaması almak için yeterli zamana sahip olacaktı.
Tüm hazırlıklar tamamlandıktan sonra herkese “Dikkat! Cloudflare programı güncellendi” ve bir bağlantı sağladı.
Çoğu çalışan hileye düşmezken, bazıları düştü. Ancak Cloudflare’ın ek güvenlik önlemleri, saldırganların sistemlerine asla erişmemesini sağladı. Şirket, Zamana Dayalı Tek Kullanımlık Parola (TOTP) kullanmaz, bunun yerine FIDO2 uyumlu güvenlik anahtarlarına güvenir.
Yazarlar, “Sabit anahtarlar kullanıcılara bağlı olduğundan ve kaynak bağlama uyguladığından, bunun gibi karmaşık, gerçek zamanlı bir kimlik avı işlemi bile herhangi bir sistemimizde oturum açmak için gerekli bilgileri toplayamaz” dedi. “Saldırgan, güvenliği ihlal edilmiş kullanıcı adı ve parola bilgileriyle sistemlerimize giriş yapmaya çalışırken, donanım anahtarı gereksinimini aşamadı.”
Cloudflare bu kurşundan kurtulmuş gibi görünüyor, ancak saldırının karmaşıklığı nedeniyle diğer birçok kurbanın kaçamayacağını söylüyor. Hileye düşenler, muhtemelen AnyDesk’in uç noktalara yüklenen uzaktan erişim yazılımıyla sonuçlandı. (yeni sekmede açılır). Şirket, “Bu yazılım, kurulursa, bir saldırganın kurbanın makinesini uzaktan kontrol etmesine izin verecek” sonucuna vardı.
Saldırı, Twilio’nun, bilgisayar korsanlarının şirket çalışanlarını, daha sonra şirket ağına gizlice girmek, uç noktaları haritalamak ve daha da fazla veri çalmak için kullanılan oturum açma kimlik bilgilerini vermeleri için kandırdığı benzer bir kimlik avı saldırısı tarafından vurulduğunu ortaya çıkarmasından kısa bir süre sonra geldi.