중국 공산당 해커들은 수년간 F5의 미국 정부 네트워크 내부에 숨어 있었습니다

블룸버그에 따르면 중국 정부의 지원을 받는 사이버 부대와 연계된 해커들이 2023년 말 F5의 내부 네트워크에 침투해 올해 8월까지 숨어 있었다.

시애틀에 본사를 둔 사이버 보안 회사는 관련 서류에서 자사 시스템이 거의 2년 동안 해킹당해 공격자들이 내부 인프라에 "장기간 지속적으로 접근"할 수 있었다고 인정했습니다.

이번 유출 사고로 소스 코드, 민감한 구성 데이터, 그리고 공개되지 않은 소프트웨어 취약점에 대한 정보가 노출된 것으로 알려졌습니다. BIG-IP 플랫폼은 포춘 500대 기업의 85%와 많은 미국 연방 기관의 네트워크에 사용되는 기술입니다.

해커들은 F5의 자체 소프트웨어를 통해 침입했는데, 직원들이 내부 보안 정책을 준수하지 않아 해당 소프트웨어가 온라인에 노출된 상태였습니다. 공격자들은 이 취약점을 악용하여 철저히 잠겨 있어야 할 시스템 내부에서 자유롭게 활동할 수 있었습니다.

F5는 고객들에게 이번 실수가 회사가 고객들에게 교육하는 사이버 보안 지침을 직접적으로 위반한 것이라고 밝혔습니다. 이 소식이 전해지자 10월 16일 F5의 주가는 10% 이상 폭락하며 시가총액이 수백만 달러 증발했습니다.

"해당 취약점 정보가 공개된 이상, F5를 사용하는 모든 사람은 자신의 시스템이 해킹당했다고 가정해야 합니다." 말했습니다 HP의 전 보안 담당 임원이자 현재 영국의 사이버 보안 서비스 회사인 사이버큐 그룹(CyberQ Group Ltd.)의 설립자인 크리스 우즈가

해커들은 F5의 자체 기술을 이용하여 은밀성과 제어력을 유지했습니다

블룸버그 통신에 따르면 F5는 수요일에 중국 정부의 지원을 받는 해커들이 사용하는 브릭스톰(Brickstorm)이라는 악성코드 유형에 대한 위협 탐지 가이드를 고객들에게 배포했습니다.

F5의 의뢰를 받은 맨디언트는 브릭스톰이 해커들이 VMware 가상 머신과 더 깊은 인프라를 통해 은밀하게 침투할 수 있도록 허용한다는 사실을 확인했습니다. 침입자들은 발판을 마련한 후 1년 넘게 활동을 중단했는데, 이는 회사의 보안 로그 보존 기간이 만료될 때까지 기다리는 오래되었지만 효과적인 수법입니다.

모든 디지털 trac기록하는 로그는 비용 절감을 위해 12개월 후 삭제되는 경우가 많습니다. 하지만 해커들은 로그가 삭제되자 BIG-IP를 재활성화하여 소스 코드와 취약점 보고서를 포함한 데이터를 빼돌렸습니다.

F5는 일부 고객 데이터에 접근이 허용된 것은 사실이지만, 해커들이 소스 코드를 변경했거나 탈취한 정보를 이용해 고객을 공격했다는 실질적인 증거는 없다고 밝혔습니다.

F5의 BIG-IP 플랫폼은 로드 밸런싱 및 네트워크 보안을 처리하고, 디지털 트래픽을 라우팅하며, 시스템을 침입으로부터 보호합니다.

미국과 영국 정부, 긴급 경보 발령

미국 사이버보안 및 인프라 보안국(CISA)은 이번dent "연방 네트워크를 겨냥한 중대한 사이버 위협"이라고 규정했습니다. CISA는 수요일에 발표한 긴급 지침에서 모든 연방 기관에 10월 22일까지 F5 제품을dent하고 업데이트하도록 명령했습니다.

영국 국가사이버보안센터(NCSC)도 수요일에 이번 침해 사고에 대한 경고를 발표하며, 해커들이 F5 시스템에 대한 접근 권한을 이용해 회사의 기술을 악용하고 추가적인 취약점을dent수 있다고 경고했습니다.

이번 사태가 드러난 후, F5의 CEO 프랑수아 로코-도누는 고객들을 대상으로 브리핑을 열어 침해 규모를 설명했습니다. 그는 또한 회사가 크라우드스트라이크와 구글의 맨디언트에 수사 지원을 요청했으며, 법 집행 기관 및 정부 조사관들도 함께 참여하고 있다고 밝혔습니다.

이번 공격의 배후에는 중국 정부가 있다고 조사 관계자들이 블룸버그에 전했다고 합니다. 그러나 중국 대변인은 이러한 주장을 "근거 없고 증거도 없는 주장"이라며 일축했습니다

Sygnia의 사이버 보안 컨설팅dent 인 일리아 라비노비치는 Sygnia가 작년에 공개한 사례에서 해커들이 F5 장비 내부에 숨어 이를 "명령 및 제어" 기지로 활용하여 피해 네트워크에 은밀하게 침투했다고 밝혔습니다. 그는 "수많은 조직이 이러한 장비를 사용하고 있기 때문에 이러한 공격이 대규모로 확산될 가능성이 있다"고 말했습니다.