Hackers do PCC se esconderam nas redes do governo americano da F5 por anos

Segundo a Bloomberg, hackers ligados às unidades cibernéticas apoiadas pelo Estado chinês infiltraram-se nas redes internas da F5 no final de 2023 e permaneceram ocultos até agosto deste ano.

A empresa de cibersegurança sediada em Seattle admitiu em documentos judiciais que seus sistemas estiveram comprometidos por quase dois anos, permitindo que invasores tivessem "acesso persistente e de longo prazo" à sua infraestrutura interna.

A violação de segurança teria exposto o código-fonte, dados de configuração sensíveis e informações sobre vulnerabilidades de software não divulgadas em sua plataforma BIG-IP, uma tecnologia que alimenta as redes de 85% das empresas da Fortune 500 e de muitas agências federais dos EUA.

Os hackers invadiram o sistema explorando o próprio software da F5, que havia sido deixado exposto online após funcionários não seguirem as políticas internas de segurança. Os invasores aproveitaram essa vulnerabilidade para entrar e circular livremente em sistemas que deveriam estar protegidos.

A empresa F5 informou aos clientes que a falha violou diretamente as mesmas diretrizes de segurança cibernética que a empresa ensina a seus clientes a seguir. Quando a notícia foi divulgada, as ações da F5 caíram mais de 10% em 16 de outubro, eliminando milhões em valor de mercado.

“Como essa informação sobre a vulnerabilidade já é pública, todos que usam o F5 devem presumir que seus sistemas estão comprometidos”, disse Chris Woods, ex-executivo de segurança da HP e atual fundador da CyberQ Group Ltd., uma empresa de serviços de cibersegurança no Reino Unido.

Os hackers usaram a própria tecnologia da F5 para manter o sigilo e o controle

De acordo com a Bloomberg, a F5 enviou aos seus clientes, na quarta-feira, um guia de busca de ameaças para um tipo de malware chamado Brickstorm, usado por hackers apoiados pelo Estado chinês.

A Mandiant, contratada pela F5, confirmou que o Brickstorm permitiu que hackers se movessem silenciosamente por máquinas virtuais da VMware e por infraestruturas mais profundas. Após garantirem seu acesso, os invasores permaneceram inativos por mais de um ano, uma tática antiga, porém eficaz, destinada a ultrapassar o período de retenção de registros de segurança da empresa.

Os registros, que armazenam cada tracdigital, geralmente são apagados após 12 meses para reduzir custos. Assim que esses registros foram apagados, os hackers reativaram o sistema e extraíram dados do BIG-IP, incluindo código-fonte e relatórios de vulnerabilidades.

A F5 afirmou que, embora alguns dados de clientes tenham sido acessados, não possui evidências concretas de que hackers tenham alterado seu código-fonte ou usado as informações roubadas para explorar clientes.

A plataforma BIG-IP da F5 gerencia o balanceamento de carga e a segurança de rede, roteando o tráfego digital e protegendo os sistemas contra intrusões.

Governos dos EUA e do Reino Unido emitem alertas de emergência

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) classificou odent como uma “ameaça cibernética significativa direcionada a redes federais”. Em uma diretiva de emergência emitida na quarta-feira, a CISA ordenou que todas as agências federaisdente atualizem seus produtos F5 até 22 de outubro.

O Centro Nacional de Segurança Cibernética do Reino Unido também emitiu um alerta sobre a violação na quarta-feira, avisando que hackers poderiam usar seu acesso aos sistemas da F5 para explorar a tecnologia da empresa edentvulnerabilidades adicionais.

Após a divulgação, o CEO da F5, François Locoh-Donou, realizou reuniões com clientes para explicar a extensão da violação. François confirmou que a empresa contratou a CrowdStrike e a Mandiant, do Google, para auxiliar as autoridades policiais e os investigadores governamentais.

Fontes oficiais familiarizadas com a investigação teriam dito à Bloomberg que o governo chinês estava por trás do ataque. Mas um porta-voz chinês rejeitou a acusação como "infundada e feita sem provas"

Ilia Rabinovich, vice-dent de consultoria em cibersegurança da Sygnia, afirmou que, no caso divulgado pela empresa no ano passado, hackers se esconderam dentro dos equipamentos da F5 e os utilizaram como base de comando e controle para infiltrar redes de vítimas sem serem detectados. "Há um potencial para que isso se transforme em algo de proporções gigantescas, visto que inúmeras organizações utilizam esses dispositivos", disse ele.