По данным Bloomberg, хакеры, связанные с поддерживаемыми государством китайскими кибер-подразделениями, проникли во внутренние сети F5 в конце 2023 года и оставались скрытыми до августа этого года. Базирующаяся в Сиэтле компания по кибербезопасности признала в документах, что ее системы были скомпрометированы почти два года, что позволило злоумышленникам получить "долгосрочный, постоянный доступ" к ее внутренней инфраструктуре.
Сообщается, что в результате взлома был раскрыт исходный код, конфиденциальные данные конфигурации и информация о нераскрытых уязвимостях программного обеспечения в платформе BIG-IP, технологии, которая обеспечивает работу сетей 85% компаний из списка Fortune 500 и многих федеральных агентств США.
Хакеры проникли через собственное программное обеспечение F5, которое осталось доступным в интернете после того, как сотрудники не соблюдали внутренние политики безопасности. Злоумышленники использовали эту слабую точку для входа и свободного перемещения внутри систем, которые должны были быть заблокированы.
Компания F5 сообщила клиентам, что этот недосмотр напрямую нарушал те же киберруководства, которым компания учит следовать своих клиентов. Когда новость стала известна, акции F5 упали более чем на 10% 16 октября, уничтожив миллионы рыночной стоимости.
"Поскольку информация об уязвимости стала доступна, все, кто использует F5, должны предполагать, что они скомпрометированы", - сказал Крис Вудс, бывший руководитель по безопасности HP, который сейчас является основателем CyberQ Group Ltd., фирмы по кибербезопасности в Великобритании.
Хакеры использовали собственную технологию F5 для поддержания скрытности и контроля
По данным Bloomberg, F5 отправила клиентам в среду руководство по охоте за угрозами для типа вредоносного ПО под названием Brickstorm, используемого хакерами, поддерживаемыми китайским государством.
Mandiant, нанятая F5, подтвердила, что Brickstorm позволил хакерам тихо перемещаться через виртуальные машины VMware и более глубокую инфраструктуру. Закрепившись, злоумышленники оставались неактивными более года - старая, но эффективная тактика, направленная на то, чтобы переждать период хранения журналов безопасности компании.
Журналы, которые записывают каждый цифровой след, часто удаляются через 12 месяцев для экономии затрат. Как только эти журналы исчезли, хакеры активизировались и извлекли данные из BIG-IP, включая исходный код и отчеты об уязвимостях.
F5 заявила, что хотя был получен доступ к некоторым данным клиентов, у нее нет реальных доказательств того, что хакеры изменили ее исходный код или использовали украденную информацию для эксплуатации клиентов.
Платформа BIG-IP от F5 обеспечивает балансировку нагрузки и сетевую безопасность, маршрутизацию цифрового трафика и защиту систем от вторжения.
Правительства США и Великобритании выпускают экстренные предупреждения
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) назвало инцидент "значительной киберугрозой, нацеленной на федеральные сети". В экстренной директиве, выпущенной в среду, CISA приказало всем федеральным агентствам идентифицировать и обновить свои продукты F5 до 22 октября.
Национальный центр кибербезопасности Великобритании также выпустил предупреждение о взломе в среду, предупреждая, что хакеры могут использовать свой доступ к системам F5 для эксплуатации технологии компании и выявления дополнительных уязвимостей.
После раскрытия информации генеральный директор F5 Франсуа Локо-Доноу провел брифинги с клиентами, чтобы объяснить масштабы взлома. Франсуа подтвердил, что компания привлекла CrowdStrike и Mandiant от Google для помощи вместе с правоохранительными органами и государственными следователями.
Официальные лица, знакомые с расследованием, якобы сообщили Bloomberg, что за атакой стояло правительство Китая. Но представитель Китая отверг обвинение как "необоснованное и сделанное без доказательств".
Илья Рабинович, вице-президент Sygnia по консалтингу в области кибербезопасности, сказал, что в случае, о котором Sygnia сообщила в прошлом году, хакеры скрывались внутри устройств F5 и использовали их как базу "командования и контроля" для незаметного проникновения в сети жертв. "Существует потенциал для того, чтобы это превратилось во что-то массовое, потому что многочисленные организации развертывают эти устройства", - сказал он.
Получите свое бесплатное место в эксклюзивном сообществе криптотрейдинга – ограничено до 1 000 участников.
Источник: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
