Des pirates informatiques du PCC se sont cachés pendant des années au sein des réseaux gouvernementaux américains de F5

Des pirates informatiques liés aux unités cybernétiques soutenues par l'État chinois ont infiltré les réseaux internes de F5 fin 2023 et sont restés cachés jusqu'en août dernier, selon Bloomberg.

L'entreprise de cybersécurité basée à Seattle a admis dans des documents que ses systèmes avaient été compromis pendant près de deux ans, permettant aux attaquants un « accès persistant et à long terme » à son infrastructure interne.

La faille de sécurité aurait exposé le code source, des données de configuration sensibles et des informations sur des vulnérabilités logicielles non divulguées de sa plateforme BIG-IP, une technologie qui alimente les réseaux de 85 % des entreprises du classement Fortune 500 et de nombreuses agences fédérales américaines.

Les pirates informatiques se sont introduits dans le système via le logiciel de F5, laissé vulnérable en ligne suite à un manquement des employés aux politiques de sécurité internes. Ils ont exploité cette faille pour accéder et circuler librement dans des systèmes qui auraient dû être verrouillés.

La société F5 a informé ses clients que cette négligence constituait une violation directe des mêmes règles de cybersécurité qu'elle enseigne à ses clients. Suite à cette révélation, le cours de l'action F5 a chuté de plus de 10 % le 16 octobre, entraînant une perte de plusieurs millions de dollars en capitalisation boursière.

« Puisque cette information sur la vulnérabilité est publique, tous les utilisateurs de F5 devraient considérer leur système comme compromis », a déclaré Chris Woods, ancien responsable de la sécurité chez HP et fondateur de CyberQ Group Ltd., une société de services de cybersécurité basée au Royaume-Uni.

Les pirates ont utilisé la technologie de F5 pour maintenir leur discrétion et leur contrôle

Selon Bloomberg, F5 a envoyé mercredi à ses clients un guide de chasse aux menaces concernant un type de logiciel malveillant appelé Brickstorm, utilisé par des pirates informatiques soutenus par l'État chinois.

Mandiant, société mandatée par F5, a confirmé que Brickstorm permettait aux pirates de se déplacer discrètement au sein des machines virtuelles VMware et de l'infrastructure sous-jacente. Après avoir établi leur présence, les intrus sont restés inactifs pendant plus d'un an, une tactique ancienne mais efficace visant à dépasser la durée de conservation des journaux de sécurité de l'entreprise.

Les journaux d'activité, qui enregistrent chaque tracnumérique, sont généralement supprimés après 12 mois pour des raisons d'économie. Une fois ces journaux effacés, les pirates ont réactivé le système BIG-IP et extrait des données, notamment le code source et les rapports de vulnérabilité.

F5 a déclaré que, bien que certaines données clients aient été consultées, elle ne dispose d'aucune preuve concrète que les pirates informatiques aient modifié son code source ou utilisé les informations volées pour exploiter les clients.

La plateforme BIG-IP de F5 gère l'équilibrage de charge et la sécurité du réseau, achemine le trafic numérique et protège les systèmes contre les intrusions.

Les gouvernements américain et britannique émettent des alertes d'urgence

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a qualifié l’dent de « cybermenace importante ciblant les réseaux fédéraux ». Dans une directive d’urgence publiée mercredi, la CISA a ordonné à toutes les agences fédérales d’dentet de mettre à jour leurs produits F5 d’ici le 22 octobre.

Le Centre national britannique de cybersécurité a également émis une alerte concernant cette faille de sécurité mercredi, avertissant que les pirates informatiques pourraient utiliser leur accès aux systèmes F5 pour exploiter la technologie de l'entreprise etdentdes vulnérabilités supplémentaires.

Suite à la révélation de l'incident, le PDG de F5, François Locoh-Donou, a tenu des réunions d'information avec les clients pour expliquer l'ampleur de la faille de sécurité. Il a confirmé que l'entreprise avait fait appel à CrowdStrike et à Mandiant (Google) pour prêter main-forte aux forces de l'ordre et aux enquêteurs gouvernementaux.

Des responsables proches de l'enquête auraient déclaré à Bloomberg que le gouvernement chinois était à l'origine de l'attaque. Un porte-parole chinois a cependant rejeté cette accusation, la qualifiant de « sans fondement et dénuée de preuves »

Ilia Rabinovich, vice-président de Sygnia endent du conseil en cybersécurité, a déclaré que dans l'affaire révélée par Sygnia l'an dernier, des pirates informatiques s'étaient dissimulés dans les équipements F5 et les avaient utilisés comme base de commande et de contrôle pour infiltrer les réseaux des victimes sans être détectés. « Ce type d'attaque pourrait prendre une ampleur considérable, car de nombreuses organisations déploient ces appareils », a-t-il ajouté.