Secondo Bloomberg, degli hacker legati alle unità informatiche cinesi sostenute dallo Stato si sono infiltrati nelle reti interne di F5 alla fine del 2023 e sono rimasti nascosti fino ad agosto.
L'azienda di sicurezza informatica con sede a Seattle ha ammesso nei documenti che i suoi sistemi erano stati compromessi per quasi due anni, consentendo agli aggressori un "accesso persistente e a lungo termine" alla sua infrastruttura interna.
Secondo quanto riferito, la violazione ha esposto il codice sorgente, dati di configurazione sensibili e informazioni su vulnerabilità software non divulgate nella piattaforma BIG-IP, una tecnologia che alimenta le reti dell'85% delle aziende Fortune 500 e di molte agenzie federali statunitensi.
Gli hacker hanno violato il software di F5, rimasto esposto online dopo che i dipendenti non avevano rispettato le policy di sicurezza interne. Gli aggressori hanno sfruttato questo punto debole per entrare e muoversi liberamente all'interno di sistemi che avrebbero dovuto essere bloccati.
La società F5 ha comunicato ai clienti che la violazione violava direttamente le stesse linee guida informatiche che l'azienda insegna ai propri clienti a seguire. Quando la notizia si è diffusa, il 16 ottobre le azioni di F5 sono crollate di oltre il 10%, cancellando milioni di dollari di valore di mercato.
"Dato che le informazioni sulla vulnerabilità sono disponibili, chiunque utilizzi F5 dovrebbe presumere di essere stato compromesso", ha affermato Chris Woods, ex dirigente della sicurezza presso HP e ora fondatore di CyberQ Group Ltd., un'azienda di servizi di sicurezza informatica nel Regno Unito.
Gli hacker hanno utilizzato la tecnologia di F5 per mantenere la furtività e il controllo
Secondo quanto riportato da Bloomberg, mercoledì F5 ha inviato ai propri clienti una guida alla ricerca delle minacce per un tipo di malware chiamato Brickstorm, utilizzato dagli hacker finanziati dallo Stato cinese.
Mandiant, ingaggiata da F5, ha confermato che Brickstorm ha permesso agli hacker di muoversi silenziosamente attraverso le macchine virtuali VMware e le infrastrutture più profonde. Dopo essersi assicurati la loro posizione, gli intrusi sono rimasti inattivi per oltre un anno, una vecchia ma efficace tattica pensata per superare il periodo di conservazione dei registri di sicurezza dell'azienda.
I log, che registrano ogni traccia digitale, vengono spesso eliminati dopo 12 mesi per risparmiare sui costi. Una volta eliminati, gli hacker hanno riattivato ed estratto i dati da BIG-IP, inclusi codice sorgente e report sulle vulnerabilità.
F5 ha affermato che, nonostante l'accesso ad alcuni dati dei clienti, non ha prove concrete che gli hacker abbiano modificato il codice sorgente o utilizzato le informazioni rubate per sfruttare i clienti.
La piattaforma BIG-IP di F5 gestisce il bilanciamento del carico e la sicurezza della rete, l'instradamento del traffico digitale e la protezione dei sistemi dalle intrusioni.
I governi degli Stati Uniti e del Regno Unito emettono avvisi di emergenza
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha definito l'incidente una "grave minaccia informatica rivolta alle reti federali". In una direttiva di emergenza emessa mercoledì, la CISA ha ordinato a tutte le agenzie federali di identificare e aggiornare i propri prodotti F5 entro il 22 ottobre.
Mercoledì anche il National Cyber Security Centre del Regno Unito ha emesso un avviso in merito alla violazione, avvertendo che gli hacker potrebbero utilizzare il loro accesso ai sistemi F5 per sfruttare la tecnologia dell'azienda e identificare ulteriori vulnerabilità.
In seguito alla divulgazione, il CEO di F5, Francois Locoh-Donou, ha tenuto dei briefing con i clienti per spiegare la portata della violazione. Francois ha confermato che l'azienda aveva chiesto supporto a CrowdStrike e Mandiant di Google, insieme alle forze dell'ordine e agli investigatori governativi.
Funzionari a conoscenza dell'inchiesta avrebbero riferito a Bloomberg che dietro l'attacco c'era il governo cinese. Ma un portavoce cinese ha respinto l'accusa come "infondata e priva di prove".
Ilia Rabinovich, vicepresidente della consulenza sulla sicurezza informatica di Sygnia, ha affermato che nel caso rivelato da Sygnia l'anno scorso, gli hacker si sono nascosti all'interno dei dispositivi F5 e li hanno utilizzati come base di "comando e controllo" per infiltrarsi nelle reti delle vittime senza essere scoperti. "C'è il potenziale per un'evoluzione su larga scala, perché numerose organizzazioni utilizzano questi dispositivi", ha affermato.
Non limitarti a leggere le notizie sulle criptovalute. Comprendile. Iscriviti alla nostra newsletter. È gratuita .