Hackers ligados a unidades cibernéticas apoiadas pelo Estado chinês infiltraram-se nas redes internas da F5 no final de 2023 e permaneceram escondidos até agosto deste ano, segundo a Bloomberg. A empresa de cibersegurança sediada em Seattle admitiu em documentos que os seus sistemas foram comprometidos durante quase dois anos, permitindo aos atacantes "acesso persistente de longo prazo" à sua infraestrutura interna.
A violação terá exposto código fonte, dados de configuração sensíveis e informações sobre vulnerabilidades de software não divulgadas na sua plataforma BIG-IP, uma tecnologia que alimenta as redes de 85% das empresas Fortune 500 e muitas agências federais dos EUA.
Os hackers entraram através do próprio software da F5, que ficou exposto online depois de funcionários não seguirem as políticas de segurança internas. Os atacantes exploraram esse ponto fraco para entrar e circular livremente dentro de sistemas que deveriam estar bloqueados.
A empresa F5 informou aos clientes que a falha violou diretamente as mesmas diretrizes cibernéticas que a empresa ensina aos seus clientes a seguir. Quando a notícia foi divulgada, as ações da F5 caíram mais de 10% em 16 de outubro, eliminando milhões em valor de mercado.
"Como essa informação de vulnerabilidade está disponível, todos que usam F5 devem assumir que estão comprometidos", disse Chris Woods, ex-executivo de segurança da HP que agora é fundador da CyberQ Group Ltd., uma empresa de serviços de cibersegurança no Reino Unido.
Hackers usaram a própria tecnologia da F5 para manter sigilo e controle
A F5 enviou aos clientes na quarta-feira um guia de caça a ameaças para um tipo de malware chamado Brickstorm usado por hackers apoiados pelo Estado chinês, segundo a Bloomberg.
A Mandiant, contratada pela F5, confirmou que o Brickstorm permitiu aos hackers moverem-se silenciosamente através de máquinas virtuais VMware e infraestrutura mais profunda. Após garantirem sua posição, os invasores permaneceram inativos por mais de um ano, uma tática antiga mas eficaz destinada a esperar o período de retenção de logs de segurança da empresa.
Os logs, que registam cada vestígio digital, são frequentemente eliminados após 12 meses para economizar custos. Uma vez que esses logs desapareceram, os hackers reativaram-se e extraíram dados do BIG-IP, incluindo código fonte e relatórios de vulnerabilidade.
A F5 disse que, embora alguns dados de clientes tenham sido acedidos, não tem evidências reais de que os hackers tenham alterado seu código fonte ou usado as informações roubadas para explorar clientes.
A plataforma BIG-IP da F5 lida com balanceamento de carga e segurança de rede, roteando tráfego digital e protegendo sistemas contra intrusão.
Governos dos EUA e do Reino Unido emitem alertas de emergência
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) chamou o incidente de "ameaça cibernética significativa visando redes federais". Em uma diretiva de emergência emitida na quarta-feira, a CISA ordenou que todas as agências federais identificassem e atualizassem seus produtos F5 até 22 de outubro.
O Centro Nacional de Segurança Cibernética do Reino Unido também emitiu um alerta sobre a violação na quarta-feira, advertindo que os hackers poderiam usar seu acesso aos sistemas F5 para explorar a tecnologia da empresa e identificar vulnerabilidades adicionais.
Após a divulgação, o CEO da F5, Francois Locoh-Donou, realizou reuniões com clientes para explicar o escopo da violação. Francois confirmou que a empresa havia chamado a CrowdStrike e a Mandiant da Google para auxiliar junto com as forças de segurança e investigadores governamentais.
Oficiais familiarizados com a investigação supostamente disseram à Bloomberg que o governo chinês estava por trás do ataque. Mas um porta-voz chinês rejeitou a acusação como "infundada e feita sem evidências".
Ilia Rabinovich, vice-presidente de consultoria em cibersegurança da Sygnia, disse que no caso divulgado pela Sygnia no ano passado, os hackers se esconderam dentro dos dispositivos F5 e os usaram como base de "comando e controle" para infiltrar redes de vítimas sem serem detetados. "Existe potencial para isso evoluir para algo massivo, porque numerosas organizações implementam esses dispositivos", disse ele.
Reivindique o seu lugar gratuito numa comunidade exclusiva de negociação de criptomoedas – limitada a 1.000 membros.
Fonte: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
