- дата публікації
Хакери, пов'язані з Китаєм, проникли в системи F5 наприкінці 2023 року
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Зловмисники, пов’язані з китайськими державними кіберпідрозділами, зламали внутрішні мережі компанії F5 наприкінці 2023 року та залишалися непоміченими до серпня цього року, за даними Bloomberg.
Компанія з кібербезпеки, що базується у Сіетлі, визнала у своїх документах, що її системи були скомпрометовані протягом майже двох років, що дало можливість зловмисникам мати "довготерміновий, безперервний доступ" до внутрішньої інфраструктури. Внаслідок зламу було викрито вихідний код, конфіденційні конфігураційні дані та інформацію про невідомі вразливості в платформі BIG-IP, технології, яка підтримує мережі 85% компаній зі списку Fortune 500 та багатьох федеральних агентств США. Зловмисники проникли через власне програмне забезпечення F5, яке було залишене вразливим в інтернеті після того, як співробітники не дотримались внутрішніх правил безпеки.
Зловмисники використали цю вразливість для вільного доступу до систем, які мали бути заблоковані. Компанія F5 повідомила клієнтам, що ця помилка безпосередньо порушує ті самі кібернетичні рекомендації, які вона навчала своїх клієнтів дотримуватися.
Після розкриття новини акції F5 впали більш ніж на 10% 16 жовтня, втративши мільйони в ринковій вартості. "Оскільки ця інформація про вразливість опублікована, всі, хто використовує F5, повинні вважати, що їх системи скомпрометовані," — зазначив Кріс Вудс, колишній керівник з безпеки HP, який зараз є засновником компанії CyberQ Group Ltd.
у Великобританії. Зловмисники використовували технології F5, щоб підтримувати свою активність непоміченими F5 надіслала клієнтам у середу керівництво щодо виявлення загроз для типу шкідливого програмного забезпечення Brickstorm, яке використовували китайські зловмисники.
Компанія Mandiant, найнята F5, підтвердила, що Brickstorm дозволяв хакерам безшумно переміщатися через віртуальні машини VMware і глибшу інфраструктуру.
Після того, як вони закріпилися, зловмисники залишалися неактивними більше року, що є старою, але ефективною тактикою, спрямованою на те, щоб дочекатися закінчення терміну зберігання журналів безпеки компанії. Журнали, які фіксують кожний цифровий слід, часто видаляються після 12 місяців, щоб знизити витрати.
Після зникнення цих журналів хакери знову активізувалися і витягли дані з BIG-IP, включаючи вихідний код і звіти про вразливості. Компанія F5 заявила, що хоча деякі дані клієнтів були доступні, у них немає реальних доказів того, що зловмисники змінили вихідний код або використали викрадену інформацію для експлуатації клієнтів. Платформа BIG-IP компанії F5 відповідає за балансування навантаження і безпеку мережі, маршрутизуючи цифровий трафік і захищаючи системи від вторгнення. Уряди США та Великобританії видали екстрені попередження Кібернетична агенція США CISA охарактеризувала інцидент як "значну кіберзагрозу для федеральних мереж".
У надзвичайному приписі, виданому в середу, CISA наказала всім федеральним агентствам ідентифікувати та оновити свої продукти F5 до 22 жовтня. Національний центр кібербезпеки Великобританії також видав попередження про злом у середу, застерігаючи, що зловмисники можуть використовувати свій доступ до систем F5 для експлуатації технологій компанії та виявлення додаткових вразливостей. Після розкриття інформації гендиректор F5 Франсуа Локу-Дону провів брифінги з клієнтами, щоб пояснити масштаб порушення.
Франсуа підтвердив, що компанія залучила CrowdStrike і Mandiant від Google для співпраці з правоохоронними органами та урядовими слідчими. Офіційні особи, знайомі з розслідуванням, нібито повідомили Bloomberg, що за атакою стоїть китайський уряд.
Однак представник Китаю відкинув ці звинувачення, назвавши їх "безпідставними та зробленими без доказів". Ілля Рабинович, віце-президент компанії Sygnia з консультативних послуг у сфері кібербезпеки, зазначив, що у випадку, розкритому Sygnia минулого року, зловмисники ховалися у пристроях F5 і використовували їх як "командний і контрольний" центр для проникнення у мережі жертв непоміченими.
"Є потенціал для перетворення цього у нещо масове, оскільки численні організації використовують ці пристрої," — сказав він.