Hackers vinculados a unidades cibernéticas respaldadas por el estado chino se infiltraron en las redes internas de F5 a finales de 2023 y permanecieron ocultos hasta agosto de este año, según Bloomberg. La empresa de ciberseguridad con sede en Seattle admitió en sus informes que sus sistemas habían sido comprometidos durante casi dos años, permitiendo a los atacantes un "acceso persistente a largo plazo" a su infraestructura interna.
La brecha supuestamente expuso código fuente, datos de configuración sensibles e información sobre vulnerabilidades de software no divulgadas en su plataforma BIG-IP, una tecnología que impulsa las redes del 85% de las empresas Fortune 500 y muchas agencias federales de EE. UU.
Los hackers entraron a través del propio software de F5, que había quedado expuesto en línea después de que los empleados no siguieran las políticas de seguridad internas. Los atacantes aprovecharon ese punto débil para entrar y moverse libremente dentro de sistemas que deberían haber estado bloqueados.
La empresa F5 informó a los clientes que la negligencia violaba directamente las mismas directrices cibernéticas que la compañía enseña a sus clientes a seguir. Cuando se conoció la noticia, las acciones de F5 cayeron más del 10% el 16 de octubre, eliminando millones en valor de mercado.
"Dado que esa información sobre vulnerabilidades está ahí fuera, todos los que usan F5 deberían asumir que están comprometidos", dijo Chris Woods, un ex ejecutivo de seguridad de HP que ahora es fundador de CyberQ Group Ltd., una empresa de servicios de ciberseguridad en el Reino Unido.
Los hackers utilizaron la propia tecnología de F5 para mantener el sigilo y el control
F5 envió a los clientes el miércoles una guía de búsqueda de amenazas para un tipo de malware llamado Brickstorm utilizado por hackers respaldados por el estado chino, según Bloomberg.
Mandiant, contratada por F5, confirmó que Brickstorm permitió a los hackers moverse silenciosamente a través de máquinas virtuales VMware e infraestructura más profunda. Después de asegurar su punto de apoyo, los intrusos permanecieron inactivos durante más de un año, una táctica antigua pero efectiva destinada a esperar a que pasara el período de retención de registros de seguridad de la empresa.
Los registros, que graban cada rastro digital, a menudo se eliminan después de 12 meses para ahorrar costos. Una vez que esos registros desaparecieron, los hackers se reactivaron y extrajeron datos de BIG-IP, incluidos código fuente e informes de vulnerabilidad.
F5 dijo que aunque se accedió a algunos datos de clientes, no tiene evidencia real de que los hackers cambiaran su código fuente o usaran la información robada para explotar a los clientes.
La plataforma BIG-IP de F5 maneja el equilibrio de carga y la seguridad de la red, enrutando el tráfico digital y protegiendo los sistemas contra intrusiones.
Los gobiernos de EE. UU. y Reino Unido emiten advertencias de emergencia
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) calificó el incidente como una "amenaza cibernética significativa dirigida a redes federales". En una directiva de emergencia emitida el miércoles, CISA ordenó a todas las agencias federales identificar y actualizar sus productos F5 antes del 22 de octubre.
El Centro Nacional de Seguridad Cibernética del Reino Unido también emitió una alerta sobre la brecha el miércoles, advirtiendo que los hackers podrían usar su acceso a los sistemas F5 para explotar la tecnología de la empresa y para identificar vulnerabilidades adicionales.
Tras la divulgación, el CEO de F5, Francois Locoh-Donou, realizó sesiones informativas con los clientes para explicar el alcance de la brecha. Francois confirmó que la empresa había llamado a CrowdStrike y Mandiant de Google para ayudar junto con las fuerzas del orden y los investigadores gubernamentales.
Funcionarios familiarizados con la investigación supuestamente dijeron a Bloomberg que el gobierno chino estaba detrás del ataque. Pero un portavoz chino desestimó la acusación como "infundada y hecha sin evidencia".
Ilia Rabinovich, vicepresidente de consultoría de ciberseguridad de Sygnia, dijo que en el caso que Sygnia reveló el año pasado, los hackers se escondieron dentro de los dispositivos de F5 y los usaron como base de "comando y control" para infiltrarse en las redes de las víctimas sin ser detectados. "Existe el potencial de que evolucione hacia algo masivo, porque numerosas organizaciones implementan esos dispositivos", dijo.
Reclama tu asiento gratuito en una comunidad exclusiva de trading de cripto – limitada a 1.000 miembros.
Fuente: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
