CCP-Hacker versteckten sich jahrelang in den US-Regierungsnetzwerken von F5

Laut Bloomberg drangen Hacker, die Verbindungen zu Chinas staatlich unterstützten Cyber-Einheiten haben, Ende 2023 in die internen Netzwerke von F5 ein und blieben bis August dieses Jahres unentdeckt.

Das in Seattle ansässige Cybersicherheitsunternehmen räumte in Gerichtsakten ein, dass seine Systeme seit fast zwei Jahren kompromittiert seien, wodurch Angreifer „langfristigen, dauerhaften Zugriff“ auf seine interne Infrastruktur hätten.

Bei dem Datenleck wurden Berichten zufolge Quellcode, sensible Konfigurationsdaten und Informationen über nicht offengelegte Software-Schwachstellen in der BIG-IP-Plattform offengelegt, einer Technologie, die die Netzwerke von 85 % der Fortune-500-Unternehmen und vielen US-Bundesbehörden antreibt.

Die Hacker drangen über die Software von F5 ein, die ungeschützt im Internet zugänglich war, nachdem Mitarbeiter interne Sicherheitsrichtlinien missachtet hatten. Die Angreifer nutzten diese Schwachstelle aus, um in die eigentlich gesperrten Systeme einzudringen und sich dort frei zu bewegen.

F5 teilte seinen Kunden mit, dass der Fehler direkt gegen die Cybersicherheitsrichtlinien verstoße, deren Einhaltung das Unternehmen seinen Kunden lehrt. Nach Bekanntwerden der Nachricht brachen die F5-Aktien am 16. Oktober um mehr als 10 % ein, wodurch der Marktwert um Millionen sank.

„Da diese Sicherheitslückeninformationen nun öffentlich sind, sollte jeder F5-Nutzer davon ausgehen, dass sein System kompromittiert ist“, sagte Chris Woods, ein ehemaliger Sicherheitschef bei HP, der heute Gründer der CyberQ Group Ltd. ist, einem Cybersicherheitsdienstleistungsunternehmen in Großbritannien.

Hacker nutzten die eigene Technologie von F5, um unentdeckt zu bleiben und die Kontrolle zu behalten

Laut Bloomberg verschickte F5 am Mittwoch einen Leitfaden zur Bedrohungsanalyse für eine Malware-Art namens Brickstorm an seine Kunden, die von chinesischen, staatlich unterstützten Hackern eingesetzt wird.

Mandiant, ein von F5 beauftragtes Unternehmen, bestätigte, dass Brickstorm es Hackern ermöglichte, sich unbemerkt in VMware-VMs und tieferliegende Infrastrukturen einzunisten. Nachdem sie sich Zugang verschafft hatten, blieben die Eindringlinge über ein Jahr lang inaktiv – eine altbekannte, aber effektive Taktik, um die Aufbewahrungsfrist der Sicherheitsprotokolle des Unternehmens zu umgehen.

Protokolle, die jede digitale tracaufzeichnen, werden aus Kostengründen oft nach 12 Monaten gelöscht. Nachdem diese Protokolle gelöscht waren, reaktivierten die Hacker das System und extrahierten Daten von BIG-IP, darunter Quellcode und Schwachstellenberichte.

F5 erklärte, dass zwar auf einige Kundendaten zugegriffen wurde, es aber keine wirklichen Beweise dafür gebe, dass Hacker den Quellcode verändert oder die gestohlenen Informationen genutzt hätten, um Kunden auszunutzen.

Die BIG-IP-Plattform von F5 übernimmt Lastverteilung und Netzwerksicherheit, das Routing des digitalen Datenverkehrs und den Schutz von Systemen vor Eindringlingen.

Die Regierungen der USA und Großbritanniens geben Notfallwarnungen heraus

Die US-amerikanische Cybersicherheitsbehörde CISA bezeichnete dendent als „erhebliche Cyberbedrohung für Bundesnetzwerke“. In einer am Mittwoch erlassenen Dringlichkeitsanweisung ordnete die CISA an, dass alle Bundesbehörden ihre F5-Produkte bis zum 22. Oktoberdentund aktualisieren müssen.

Das britische Nationale Zentrum für Cybersicherheit (NCSC) gab am Mittwoch ebenfalls eine Warnung zu dem Sicherheitsvorfall heraus und wies darauf hin, dass Hacker ihren Zugang zu den F5-Systemen nutzen könnten, um die Technologie des Unternehmens auszunutzen und weitere Schwachstellen zudent.

Nach Bekanntwerden des Vorfalls informierte F5-CEO François Locoh-Donou die Kunden über das Ausmaß der Sicherheitslücke. Locoh-Donou bestätigte, dass das Unternehmen CrowdStrike und Googles Mandiant zur Unterstützung der Strafverfolgungsbehörden und Regierungsermittler hinzugezogen hatte.

Beamte, die mit den Ermittlungen vertraut sind, sollen gegenüber Bloomberg geäußert haben, dass die chinesische Regierung hinter dem Anschlag stecke. Ein chinesischer Sprecher wies die Anschuldigung jedoch als „haltlos und ohne Beweise“ zurück

Ilia Rabinovich,dent für Cybersicherheitsberatung bei Sygnia, erklärte, dass sich Hacker in dem von Sygnia im letzten Jahr aufgedeckten Fall in F5-Geräten versteckt und diese als Kommandozentrale genutzt hätten, um unbemerkt in die Netzwerke der Opfer einzudringen. „Da zahlreiche Organisationen diese Geräte einsetzen, besteht die Gefahr, dass sich daraus ein massives Problem entwickelt“, sagte er.