Los piratas informáticos del PCCh se ocultaron durante años en las redes gubernamentales estadounidenses de F5

Los piratas informáticos vinculados a las unidades cibernéticas respaldadas por el estado de China se infiltraron en las redes internas de F5 a fines de 2023 y permanecieron ocultos hasta agosto de este año, según Bloomberg.

La empresa de ciberseguridad con sede en Seattle admitió en documentos presentados que sus sistemas habían estado comprometidos durante casi dos años, lo que permitió a los atacantes "acceso persistente y a largo plazo" a su infraestructura interna.

Según se informa, la filtración expuso el código fuente, datos de configuración confidenciales e información sobre vulnerabilidades de software no reveladas en su plataforma BIG-IP, una tecnología que impulsa las redes del 85% de las empresas Fortune 500 y muchas agencias federales de Estados Unidos.

Los hackers irrumpieron a través del propio software de F5, que había quedado expuesto en línea después de que los empleados incumplieran las políticas de seguridad internas. Los atacantes aprovecharon esta vulnerabilidad para entrar y circular libremente dentro de sistemas que deberían haber estado bloqueados.

La compañía F5 informó a sus clientes que la supervisión infringió directamente las mismas directrices cibernéticas que la compañía enseña a sus clientes. Cuando se conoció la noticia, las acciones de F5 cayeron más del 10 % el 16 de octubre, perdiendo millones en valor de mercado.

“Dado que esa información sobre la vulnerabilidad está disponible, todos los usuarios de F5 deberían asumir que sus sistemas están comprometidos”, dijo Chris Woods, exejecutivo de seguridad de HP y actual fundador de CyberQ Group Ltd., una empresa de servicios de ciberseguridad en el Reino Unido.

Los hackers utilizaron la propia tecnología de F5 para mantener el sigilo y el control

F5 envió a sus clientes el miércoles una guía de búsqueda de amenazas para un tipo de malware llamado Brickstorm utilizado por piratas informáticos respaldados por el estado chino, según Bloomberg.

Mandiant, contratada por F5, confirmó que Brickstorm permitió a los hackers acceder discretamente a las máquinas virtuales de VMware y a infraestructuras más complejas. Tras consolidarse, los intrusos permanecieron inactivos durante más de un año, una táctica antigua pero eficaz para superar el plazo de retención de registros de seguridad de la empresa.

Los registros, que registran cada tracdigital, suelen eliminarse después de 12 meses para ahorrar costos. Una vez eliminados, los hackers reactivaron BIG-IP y extrajeron datos, incluyendo el código fuente y los informes de vulnerabilidades.

F5 afirmó que si bien se accedió a algunos datos de clientes, no tiene evidencia real de que los piratas informáticos hayan cambiado su código fuente o utilizado la información robada para explotar a los clientes.

La plataforma BIG-IP de F5 gestiona el equilibrio de carga y la seguridad de la red, enrutando el tráfico digital y protegiendo los sistemas contra intrusiones.

Los gobiernos de Estados Unidos y el Reino Unido emiten advertencias de emergencia

La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) calificó eldent como una "ciberamenaza significativa dirigida a las redes federales". En una directiva de emergencia emitida el miércoles, la CISA ordenó a todas las agencias federalesdenty actualizar sus productos F5 antes del 22 de octubre.

El Centro Nacional de Seguridad Cibernética del Reino Unido también emitió una alerta sobre la violación el miércoles, advirtiendo que los piratas informáticos podrían usar su acceso a los sistemas de F5 para explotar la tecnología de la compañía edentvulnerabilidades adicionales.

Tras la divulgación, el director ejecutivo de F5, Francois Locoh-Donou, mantuvo reuniones informativas con los clientes para explicar el alcance de la filtración. Francois confirmó que la empresa había solicitado la colaboración de CrowdStrike y Mandiant de Google, junto con las autoridades y los investigadores gubernamentales.

Funcionarios familiarizados con la investigación supuestamente declararon a Bloomberg que el gobierno chino estaba detrás del ataque. Sin embargo, un portavoz chino desestimó la acusación, calificándola de "infundada y sin pruebas"

Ilia Rabinovich,dent de consultoría de ciberseguridad de Sygnia, afirmó que, en el caso que Sygnia reveló el año pasado, los hackers se ocultaron en los dispositivos de F5 y los utilizaron como base de comando y control para infiltrarse en las redes de las víctimas sin ser detectados. "Existe la posibilidad de que se convierta en algo masivo, ya que numerosas organizaciones implementan esos dispositivos", afirmó.