- дата публикации
Хакеры, связанные с Китаем, проникли в системы F5 в конце 2023 года
- источник
- сайт
- www.cryptopolitan.com
- открыть источник
Злоумышленники, связанные с китайскими государственными киберподразделениями, взломали внутренние сети компании F5 в конце 2023 года и оставались незамеченными до августа этого года, согласно данным Bloomberg.
Компания в сфере кибербезопасности, базирующаяся в Сиэтле, признала в своих документах, что ее системы были скомпрометированы на протяжении почти двух лет, что дало возможность злоумышленникам иметь "долгосрочный, непрерывный доступ" к внутренней инфраструктуре. В результате взлома был раскрыт исходный код, конфиденциальные конфигурационные данные и информация о неизвестных уязвимостях в платформе BIG-IP, технологии, которая поддерживает сети 85% компаний из списка Fortune 500 и многих федеральных агентств США. Злоумышленники проникли через собственное программное обеспечение F5, которое было оставлено уязвимым в интернете после того, как сотрудники не соблюдали внутренние правила безопасности.
Злоумышленники воспользовались этой уязвимостью для свободного доступа к системам, которые должны были быть заблокированы. Компания F5 сообщила клиентам, что эта ошибка непосредственно нарушает те же самые кибернетические рекомендации, которые она обучала своих клиентов соблюдать.
После раскрытия новости акции F5 упали более чем на 10% 16 октября, потеряв миллионы в рыночной стоимости. "Поскольку эта информация об уязвимости опубликована, все, кто использует F5, должны считать, что их системы скомпрометированы," — отметил Крис Вудс, бывший руководитель по безопасности HP, который сейчас является основателем компании CyberQ Group Ltd.
в Великобритании. Злоумышленники использовали технологии F5, чтобы поддерживать свою активность незамеченными. F5 отправила клиентам в среду руководство по выявлению угроз для типа вредоносного программного обеспечения Brickstorm, которое использовали китайские злоумышленники.
Компания Mandiant, нанятая F5, подтвердила, что Brickstorm позволял хакерам бесшумно перемещаться через виртуальные машины VMware и глубокую инфраструктуру.
После того, как они закрепились, злоумышленники оставались неактивными более года, что является старой, но эффективной тактикой, направленной на то, чтобы дождаться окончания срока хранения журналов безопасности компании. Журналы, которые фиксируют каждый цифровой след, часто удаляются после 12 месяцев, чтобы снизить затраты.
После исчезновения этих журналов хакеры вновь активизировались и извлекли данные из BIG-IP, включая исходный код и отчеты о уязвимостях. Компания F5 заявила, что хотя некоторые данные клиентов были доступны, у них нет реальных доказательств того, что злоумышленники изменили исходный код или использовали похищенную информацию для эксплуатации клиентов. Платформа BIG-IP компании F5 отвечает за балансировку нагрузки и безопасность сети, маршрутизируя цифровой трафик и защищая системы от вторжений. Правительства США и Великобритании выпустили экстренные предупреждения. Кибернетическое агентство США CISA охарактеризовало инцидент как "значительную киберугрозу для федеральных сетей".
В чрезвычайном предписании, выпущенном в среду, CISA приказал всем федеральным агентствам идентифицировать и обновить свои продукты F5 до 22 октября. Национальный центр кибербезопасности Великобритании также выпустил предупреждение о взломе в среду, предостерегая, что злоумышленники могут использовать свой доступ к системам F5 для эксплуатации технологий компании и выявления дополнительных уязвимостей. После раскрытия информации генеральный директор F5 Франсуа Локу-Дону провел брифинги с клиентами, чтобы объяснить масштаб нарушения.
Франсуа подтвердил, что компания привлекла CrowdStrike и Mandiant от Google для сотрудничества с правоохранительными органами и правительственными следователями. Официальные лица, знакомые с расследованием, якобы сообщили Bloomberg, что за атакой стоит китайское правительство.
Однако представитель Китая отверг эти обвинения, назвав их "безосновательными и сделанными без доказательств". Илья Рабинович, вице-президент компании Sygnia по консультативным услугам в сфере кибербезопасности, отметил, что в случае, раскрытом Sygnia в прошлом году, злоумышленники скрывались в устройствах F5 и использовали их как "командный и контрольный" центр для проникновения в сети жертв незамеченными.
"Есть потенциал для превращения этого в нечто массовое, поскольку многочисленные организации используют эти устройства," — сказал он.