Хакеры КПК годами скрывались в сетях американского правительства, принадлежащих компании F5

По данным Bloomberg, хакеры, связанные с поддерживаемыми государством киберподразделениями Китая, проникли во внутренние сети F5 в конце 2023 года и оставались в тени до августа этого года.

Компания по кибербезопасности из Сиэтла признала в своих документах, что ее системы были взломаны в течение почти двух лет, что позволило злоумышленникам получить «долгосрочный и постоянный доступ» к ее внутренней инфраструктуре.

По имеющимся данным, в результате взлома был раскрыт исходный код, конфиденциальные данные конфигурации и информация о нераскрытых уязвимостях программного обеспечения в платформе BIG-IP, технологии, которая используется в сетях 85% компаний из списка Fortune 500 и многих федеральных агентств США.

Хакеры проникли в систему через собственное программное обеспечение F5, которое оказалось уязвимым в сети из-за того, что сотрудники не соблюдали внутренние правила безопасности. Злоумышленники воспользовались этой уязвимостью, чтобы проникнуть в системы, которые должны были быть защищены, и беспрепятственно перемещаться по ним.

Компания F5 сообщила клиентам, что эта ошибка напрямую нарушает те же самые правила кибербезопасности, которым компания обучает своих клиентов. После того, как новость получила огласку, акции F5 упали более чем на 10% 16 октября, что привело к потере миллионов долларов рыночной капитализации.

«Поскольку информация об уязвимостях уже доступна, всем пользователям F5 следует исходить из того, что их системы скомпрометированы», — сказал Крис Вудс, бывший руководитель службы безопасности HP, а ныне основатель CyberQ Group Ltd., британской компании, предоставляющей услуги в области кибербезопасности.

Хакеры использовали собственную технологию F5 для обеспечения скрытности и контроля

Как сообщает Bloomberg, в среду компания F5 разослала своим клиентам руководство по поиску угроз, в частности, вредоносного ПО Brickstorm, используемого китайскими хакерами, поддерживаемыми государством.

Компания Mandiant, нанятая F5, подтвердила, что Brickstorm позволил хакерам незаметно проникать в виртуальные машины VMware и более глубокие инфраструктурные узлы. Закрепившись на платформе, злоумышленники оставались бездействующими более года — старая, но эффективная тактика, призванная переждать установленный компанией срок хранения журналов безопасности.

Журналы, фиксирующие все цифровые trac, часто удаляются через 12 месяцев в целях экономии средств. После удаления этих журналов хакеры активировались и получили доступ к данным BIG-IP, включая исходный код и отчеты об уязвимостях.

Компания F5 заявила, что, хотя доступ к некоторым данным клиентов и был получен, у нее нет реальных доказательств того, что хакеры изменили исходный код или использовали украденную информацию для взлома клиентских приложений.

Платформа BIG-IP от F5 обеспечивает балансировку нагрузки и сетевую безопасность, маршрутизацию цифрового трафика и защиту систем от вторжений.

Правительства США и Великобритании выпустили экстренные предупреждения

Агентство по кибербезопасности и защите инфраструктуры США (CISA) назвалоdent «значительной киберугрозой, направленной против федеральных сетей». В экстренном распоряжении, изданном в среду, CISA обязало все федеральные агентстваdentи обновить свои продукты F5 к 22 октября.

Национальный центр кибербезопасности Великобритании также выпустил в среду предупреждение о взломе, сообщив, что хакеры могут использовать свой доступ к системам F5 для эксплуатации технологий компании иdentдополнительных уязвимостей.

После утечки информации генеральный директор F5 Франсуа Локо-Дону провел брифинги с клиентами, чтобы объяснить масштабы взлома. Франсуа подтвердил, что компания привлекла к сотрудничеству CrowdStrike и Mandiant от Google, а также правоохранительные органы и правительственных следователей.

По сообщениям источников, знакомых с ходом расследования, агентству Bloomberg заявили, что за нападением стоит китайское правительство. Однако представитель Китая отверг это обвинение как «безосновательное и не подкрепленное доказательствами»

Илья Рабинович, вице-dent Sygnia по консалтингу в области кибербезопасности, заявил, что в случае, о котором Sygnia сообщила в прошлом году, хакеры скрывались внутри устройств F5 и использовали их в качестве «командно-контрольной» базы для незаметного проникновения в сети жертв. «Есть потенциал для того, чтобы это переросло в нечто масштабное, поскольку многие организации используют эти устройства», — сказал он.