Breach

[Atualizado] Incidente de segurança cibernética no CloudSEK

Aprendemos muito com esse ataque e identificamos uma falha grave de segurança nos produtos da Atlassian. Confira aqui GMT 16h30, 6 de dezembro. Estamos investigando um ataque cibernético direcionado ao CloudSEK. A senha do Jira de um funcionário foi comprometida para ter acesso às nossas páginas de confluência. Além disso, o atacante tem alguns detalhes internos.

December 6, 2022

min

Tabela de conteúdo

Exemplo H2

Aprendemos muito com esse ataque e identificamos uma falha grave de segurança nos produtos da Atlassian. Confira aqui

GMT 16h30, 6 de dezembro.

Estamos investigando um ataque cibernético direcionado ao CloudSEK. A senha do Jira de um funcionário foi comprometida para ter acesso às nossas páginas de confluência. Além disso, o atacante tem alguns detalhes internos, como capturas de tela, relatórios de bugs, nomes de clientes e diagramas de esquema.
Nenhum acesso ao banco de dados ou servidor foi comprometido. Estamos investigando os detalhes e mais informações serão compartilhadas com você quando as descobrirmos. Obrigado por sua confiança. Sempre acreditamos na transparência. Por isso, estamos começando um blog para atualizá-lo com informações ao vivo enquanto investigamos os detalhes.

GMT 18h15, 6 de dezembro.

Suspeitamos que uma famosa empresa de segurança cibernética esteja monitorando a Dark Web por trás do ataque. O ataque e os indicadores se conectam a um atacante com um histórico notório de uso de táticas semelhantes que observamos no passado.
Um agente de ameaças, 'sedut', ingressou recentemente em vários fóruns de crimes cibernéticos nos dias 5 e 6 de dezembro, alegando ter acesso às redes CloudSEK, o que supostamente levou ao comprometimento das contas xVigil, Codebase, Email, JIRA e de mídia social. O atacante não tem reputação na Darkweb e criou a conta do Dark Web Market especificamente para publicar informações relacionadas ao CloudSEK.
Nenhum resgate foi exigido da CloudSEK, nem havia sinais de um grupo típico de cibercrime.

GMT 19h54, 6 de dezembro.

Aqui estão as reivindicações do ator e os comentários contra cada reclamação da CloudSEK com base nas investigações que fizemos até agora.

Nome do incidenteResumo da reclamação do ator da ameaçaComentário do CloudSEK Acesso ao Confluence e ao JiraO ator da ameaça alegou ter acesso ao Jira.Isso está correto e validado.Acesso ao PO dos clientesO ator alegou ter acesso aos pedidos de compra do cliente.Certas informações do PO que estavam disponíveis no Jira foram acessadas.Acesso à conta do TwitterO ator alegou ter acesso às mídias sociais (Twitter) .CloudSEK main contas de mídia social não foram violadas. Em vez disso, uma conta de mídia social que usamos para realizar ações de remoção foi comprometida. Alguns de nossos clientes foram marcados por meio de tweets. Alguns anúncios pessoais da mídia foram marcados por meio de um tweet. A intenção do atacante não era exfiltrar dados, mas sim causar danos à marca/reputação.
Conta principal do Twitter do CloudSEK- https://twitter.com/cloudsek
Conta do Twitter comprometida —https://twitter.com/CloudsekXvigilAcesso VPN ao Xvigil e ao BevigilO ator da ameaça afirma ter acesso à nossa VPN.Sem acesso à VPN —
Capturas de tela retiradas das páginas de treinamento do Jira/Confluence.Acesso ao banco de dadosO agente da ameaça alega ter acesso ao nosso banco de dados.Sem acesso ao banco de dados.
Capturas de tela retiradas das páginas de treinamento do Jira/ConfluenceAcesso ao ElasticsearchO agente da ameaça alega ter acesso ao nosso banco de dados de pesquisa elástica.Sem acesso ao banco de dados — Capturas de tela retiradas das páginas de treinamento do jira/confluenceAcesso à base de código

Gitlab
Bitbucket
Github

O agente da ameaça alega ter acesso ao código-fonte.Nenhuma atividade suspeita foi encontrada.Acesso ao xVigilO ator da ameaça alega que também pode “adicionar clientes”. Sem acesso à plataforma — Capturas de tela retiradas das páginas de treinamento do Jira/ConfluenceAcesso ao Project xThreat O ator alega ter acesso ao ProjectXSem acesso à plataforma — Vídeo/capturas de tela retirados das páginas de treinamento do Jira/ConfluenceDados do cliente do xViVience GIO agente da ameaça compartilhou dois arquivos do Excel em um arquivo que são do Xvigil — os arquivos foram anexados aos tickets do Jira. Esses são subdomínios descobertos automaticamente pelo CloudSEK. Essas informações são públicas. O ator deve tê-las usado como amostra de informações para gerar dados de medo.Client do Xvigil.O agente da ameaça compartilhou 2 arquivos do Excel em um arquivo.Os arquivos foram anexados aos tickets do Jira. Essas informações são públicas. O ator deve tê-la usado como amostra de informação para gerar medo.

GMT 2h06, 7 de dezembro.

Confirmamos que uma conta de usuário do Jira foi comprometida.
Também sabemos que o usuário do Jira nunca usou uma senha (só usou SSO) e seu e-mail estava protegido por uma MFA.
Portanto, nenhuma senha do Jira foi comprometida, nem a conta de e-mail do usuário.
Suspeitamos que os cookies de sessão do usuário do Jira foram comprometidos, o que levou à aquisição da conta.
Estamos investigando como os invasores obtiveram os cookies de sessão para aquele usuário específico do Jira.

GMT 2h29, 7 de dezembro

Que tipo de dados do cliente vazaram?

Nomes de clientes, PO de clientes para 3 empresas.
Várias capturas de tela dos painéis do produto.

O que não está comprometido?

Sem acesso aos dados do cliente.
Sem acesso às informações de login do cliente.
Nenhuma credencial usada no portal está comprometida.

GMT 9:00

Investigação de acesso não autorizado à conta JIRA do CloudSEK

21 de novembro de 2022: Um funcionário enfrentou problemas de desempenho do laptop.

22 de novembro de 2022: A CloudSEK contratou um fornecedor terceirizado (Axiom) para verificar o problema. O fornecedor retirou o laptop das instalações da CloudSEK para manutenção. O laptop foi devolvido com uma nova cópia do Windows e um malware de log do Stealer (Vidar Stealer) instalado. O administrador do CloudSEK entregou o laptop ao funcionário.

24 de novembro de 2022: O malware Stealer Log enviou as senhas/cookies da máquina do funcionário para um mercado da darkweb. O atacante comprou os registros no mesmo dia. O invasor não conseguiu usar as outras senhas devido à MFA. Por isso, ele usou os cookies de sessão para restaurar as sessões do jira.

GMT 9H15

Perguntas frequentes

Como as credenciais vazadas do JIRA afetaram o CloudSEK?

As credenciais vazadas do Jira deram ao agente da ameaça acesso a

Treinamento e documentos internos.
VPN e endereço IP de endpoint que podem ser acessados com a configuração de VPN.
Páginas do Confluence em que o agente da ameaça usou o termo de pesquisa “senha” para pesquisar dados confidenciais.

Todas as capturas de tela e supostos acessos compartilhados pelo agente da ameaça podem ser rastreados até os tíquetes do JIRA e as páginas internas do confluence. Até mesmo as capturas de tela do Elastic DB, do esquema de banco de dados MySQL e do Xvigil/PX são de documentos de treinamento armazenados no JIRA ou no Confluence.

Que tipo de dados do cliente vazaram?

Nomes e pedidos de compra (PoS) de 3 clientes.
Várias capturas de tela dos painéis do produto.

O que não foi afetado?

Ao contrário das afirmações do ator da ameaça:

Nenhuma credencial de VPN foi vazada.
Sem acesso aos dados do cliente.
Sem acesso às informações de login do cliente.
Nenhuma credencial usada no portal está comprometida.

O CloudSEK não armazena informações críticas sobre seus clientes. A CloudSEK é uma empresa de SaaS cujos produtos utilizam dados públicos para fornecer inteligência externa sobre ameaças na forma de vetores de acesso inicial e TTPs. Nenhum dado dessa violação pode ser usado para lançar ataques à cadeia de suprimentos aos clientes.

Qual é a mudança no processo após o incidente?

As seguintes alterações no processo foram feitas, bem como controles de segurança aprimorados. Estamos compartilhando os controles de segurança que tínhamos antes e nossos controles de segurança aprimorados.

Verde — Controle de segurança aprimorado.
Vermelho — Controle de segurança anterior.
Preto — Sem alterações no processo

Controles/processos de segurança antes do incidenteControles/processos improvisados após o incidente.As máquinas reparadas são entregues aos funcionários.Todas as máquinas novas e reparadas a bordo devem ser colocadas em quarentena para verificação de malícia e sanidade por 1 semana.

Processo atualizado para garantir que os sistemas EDR estejam ativos durante o período de quarentena.

Compartilhamento de senhas no Jira, Slack e ConfluenceNão há compartilhamento de senhas no Jira, Slack ou Confluence.

Implemente uma ferramenta para monitorar espaços de trabalho públicos em busca de credenciais e notificar a equipe de segurança.

Os funcionários podem acessar vários documentos internos nos canais Jira/Confluence/Slack, etc.Limite o escopo e a autorização revogando a permissão do Jira/Confluence. (Necessidade de conhecer a base)

Autorização e permissão no canal Slack com base no perfil e na função do funcionário.

Gerenciamento de frotas/estoques usando ferramentas de processamento de texto.Gerenciamento de frota/estoque usando o Fleet DM.Renovação da segurança de dispositivos — Segurança de dispositivos para funcionários (dispositivos físicos usados por funcionários, incluindo laptop, desktop, roteadores e muito mais) Renovação da segurança de dispositivos — Segurança de dispositivos para funcionários (dispositivos físicos usados por funcionários, incluindo laptop, desktop, roteadores e muito mais)

Criptografia de discos

Lista de ferramentas e software padrão para todas as máquinas.

Monitorando a telemetria quase em tempo real usando

SentinelOne EDR

FleetDM

Regras do Fleet DM — telemetria, implementação e verificação automatizadas de conformidade.

Fleet DM — Gerenciamento automatizado de patches para todos os dispositivos dos funcionários.

Os produtos de segurança CloudSEK são implantados para segurança interna. Recursos compartilhados para monitorar as ferramentas do CloudSEK e outras ferramentas de segurança.Os produtos de segurança CloudSEK são implantados para segurança interna. Recursos dedicados para monitorar as ferramentas do CloudSEK e outras ferramentas de segurança.Monitoramento de contas de alto nível. Identifique e liste contas de alto risco e configure o monitoramento regular.Atualização periódica do sistema operacionalAtualização periódica do sistema operacionalExercícios de simulação de incêndio periodicamente para testar o BCP e a resiliênciaExercícios de simulação de incêndio periodicamente para testar o BCP e a resiliência.Pentesting periódico, exercícios de Red Teaming, simulação de phishing e Bug Bounties. Pentesting periódicos, exercícios de Red Teaming, simulação de phishing e Bug Bounties. Políticas de integração e saída de funcionáriosPolíticas de integração e saída de funcionáriosVerificações de antecedentes do fornecedor.Verificações de antecedentes do fornecedor.Verificação rigorosa e automatizada da implementação de 2FA/MFAVerificação rigorosa e automatizada da implementação de 2FA/MFAManual para diferentes tipos de incidentes de segurançaManual para diferentes tipos de incidentes de segurançaPlano de continuidade de negóciosJá existe um plano de continuidade de negócios.

Aprendemos muito com esse ataque e identificamos uma falha grave de segurança nos produtos da Atlassian. Confira aqui

Rahul Sasi

Rahul Sasi is the Co-Founder and Chief Executive Officer at CloudSEK. Connect: https://www.linkedin.com/in/fb1h2s/

Sparsh Kulshrestha

Sparsh is a Cyber Security Analyst at CloudSEK.

Deepanjli Paulraj

Deepanjli is CloudSEK's Lead Technical Content Writer and Editor. She is a pen wielding pedant with an insatiable appetite for books, Sudoku, and epistemology.