Хакери, пов'язані з підтримуваними державою китайськими кіберпідрозділами, проникли у внутрішні мережі F5 наприкінці 2023 року і залишалися прихованими до серпня цього року, згідно з Bloomberg. Компанія з кібербезпеки, що базується в Сіетлі, визнала у своїх документах, що її системи були скомпрометовані протягом майже двох років, що дозволило зловмисникам отримати "довгостроковий, постійний доступ" до її внутрішньої інфраструктури.
Повідомляється, що витік даних розкрив початковий код, конфіденційні дані конфігурації та інформацію про нерозкриті вразливості програмного забезпечення на платформі BIG-IP, технології, яка забезпечує роботу мереж 85% компаній зі списку Fortune 500 та багатьох федеральних агентств США.
Хакери проникли через власне програмне забезпечення F5, яке залишилося відкритим в інтернеті після того, як співробітники не дотрималися внутрішніх політик безпеки. Зловмисники використали цю слабку точку для входу та вільного переміщення всередині систем, які мали бути заблоковані.
Компанія F5 повідомила клієнтам, що цей недогляд прямо порушував ті самі кібернетичні рекомендації, яким компанія навчає своїх клієнтів. Коли новина стала відома, акції F5 впали більш ніж на 10% 16 жовтня, що призвело до втрати мільйонів ринкової вартості.
"Оскільки інформація про вразливість стала доступною, кожен, хто використовує F5, повинен припустити, що вони скомпрометовані", - сказав Кріс Вудс, колишній керівник з безпеки HP, який зараз є засновником CyberQ Group Ltd., фірми з кібербезпеки у Великобританії.
Хакери використовували власну технологію F5 для підтримки прихованості та контролю
F5 надіслала клієнтам у середу посібник з полювання на загрози для типу шкідливого програмного забезпечення під назвою Brickstorm, яке використовується хакерами, підтримуваними Китаєм, згідно з Bloomberg.
Mandiant, найнята F5, підтвердила, що Brickstorm дозволив хакерам тихо переміщатися через віртуальні машини VMware та глибшу інфраструктуру. Після закріплення своєї позиції, зловмисники залишалися неактивними понад рік, стара, але ефективна тактика, спрямована на те, щоб перечекати період зберігання журналів безпеки компанії.
Журнали, які записують кожен цифровий слід, часто видаляються через 12 місяців для економії коштів. Після того, як ці журнали зникли, хакери активізувалися і витягли дані з BIG-IP, включаючи початковий код та звіти про вразливості.
F5 заявила, що хоча деякі дані клієнтів були доступні, у неї немає реальних доказів того, що хакери змінили її початковий код або використали викрадену інформацію для експлуатації клієнтів.
Платформа BIG-IP від F5 забезпечує балансування навантаження та мережеву безпеку, маршрутизацію цифрового трафіку та захист систем від вторгнення.
Уряди США та Великобританії видають екстрені попередження
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) назвало інцидент "значною кіберзагрозою, спрямованою на федеральні мережі". У екстреній директиві, виданій у середу, CISA наказала всім федеральним агентствам ідентифікувати та оновити свої продукти F5 до 22 жовтня.
Національний центр кібербезпеки Великобританії також видав попередження про витік даних у середу, попереджаючи, що хакери можуть використовувати свій доступ до систем F5 для експлуатації технології компанії та виявлення додаткових вразливостей.
Після розкриття інформації генеральний директор F5 Франсуа Локо-Доноу провів брифінги з клієнтами, щоб пояснити масштаби витоку. Франсуа підтвердив, що компанія залучила CrowdStrike та Mandiant від Google для допомоги разом із правоохоронними органами та урядовими слідчими.
Офіційні особи, знайомі з розслідуванням, нібито повідомили Bloomberg, що за атакою стоїть китайський уряд. Але представник Китаю відкинув звинувачення як "безпідставне і зроблене без доказів".
Ілля Рабінович, віце-президент Sygnia з консалтингу з кібербезпеки, сказав, що у випадку, який Sygnia розкрила минулого року, хакери ховалися всередині пристроїв F5 і використовували їх як базу "командування та контролю" для непомітного проникнення в мережі жертв. "Існує потенціал для того, щоб це переросло в щось масштабне, оскільки численні організації розгортають ці пристрої", - сказав він.
Отримайте своє безкоштовне місце в ексклюзивній спільноті криптотрейдингу – обмежено до 1 000 учасників.
Джерело даних: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
