Peretas yang terkait dengan unit siber yang didukung negara China menyusup ke jaringan internal F5 pada akhir 2023 dan tetap tersembunyi hingga Agustus ini, menurut Bloomberg. Perusahaan keamanan siber berbasis Seattle ini mengakui dalam pengajuannya bahwa sistemnya telah disusupi selama hampir dua tahun, memungkinkan penyerang mendapatkan "akses jangka panjang dan persisten" ke infrastruktur internalnya.
Pelanggaran tersebut dilaporkan telah mengekspos kode sumber, data konfigurasi sensitif, dan informasi tentang kerentanan perangkat lunak yang belum diungkapkan dalam platform BIG-IP-nya, teknologi yang menggerakkan jaringan 85% perusahaan Fortune 500 dan banyak lembaga federal AS.
Para peretas masuk melalui perangkat lunak F5 sendiri, yang dibiarkan terekspos secara online setelah karyawan gagal mengikuti kebijakan keamanan internal. Penyerang memanfaatkan titik lemah tersebut untuk masuk dan berkeliaran bebas di dalam sistem yang seharusnya terkunci.
Perusahaan F5 memberi tahu pelanggan bahwa kelalaian tersebut secara langsung melanggar pedoman siber yang sama yang diajarkan perusahaan kepada kliennya untuk diikuti. Ketika berita tersebut tersebar, saham F5 turun lebih dari 10% pada 16 Oktober, menghapus jutaan nilai pasar.
"Karena informasi kerentanan itu sudah tersebar, semua yang menggunakan F5 harus berasumsi bahwa mereka telah disusupi," kata Chris Woods, mantan eksekutif keamanan HP yang sekarang menjadi pendiri CyberQ Group Ltd., perusahaan layanan keamanan siber di Inggris.
Peretas menggunakan teknologi F5 sendiri untuk mempertahankan kerahasiaan dan kontrol
F5 mengirimkan panduan berburu ancaman kepada pelanggan pada hari Rabu untuk jenis malware bernama Brickstorm yang digunakan oleh peretas yang didukung negara China, menurut Bloomberg.
Mandiant, yang dipekerjakan oleh F5, mengkonfirmasi bahwa Brickstorm memungkinkan peretas untuk bergerak diam-diam melalui mesin virtual VMware dan infrastruktur yang lebih dalam. Setelah mengamankan pijakan mereka, para penyusup tetap tidak aktif selama lebih dari setahun, taktik lama namun efektif yang dimaksudkan untuk menunggu hingga periode retensi log keamanan perusahaan berakhir.
Log, yang merekam setiap jejak digital, sering dihapus setelah 12 bulan untuk menghemat biaya. Setelah log tersebut hilang, para peretas mengaktifkan kembali dan menarik data dari BIG-IP, termasuk kode sumber dan laporan kerentanan.
F5 mengatakan bahwa meskipun beberapa data pelanggan diakses, mereka tidak memiliki bukti nyata bahwa peretas mengubah kode sumbernya atau menggunakan informasi yang dicuri untuk mengeksploitasi klien.
Platform BIG-IP F5 menangani penyeimbangan beban dan keamanan jaringan, merutekan lalu lintas digital dan melindungi sistem dari intrusi.
Pemerintah AS dan Inggris mengeluarkan peringatan darurat
Badan Keamanan Siber dan Infrastruktur AS (CISA) menyebut insiden tersebut sebagai "ancaman siber signifikan yang menargetkan jaringan federal." Dalam direktif darurat yang dikeluarkan pada hari Rabu, CISA memerintahkan semua lembaga federal untuk mengidentifikasi dan memperbarui produk F5 mereka pada 22 Oktober.
Pusat Keamanan Siber Nasional Inggris juga mengeluarkan peringatan tentang pelanggaran tersebut pada hari Rabu, memperingatkan bahwa peretas dapat menggunakan akses mereka ke sistem F5 untuk mengeksploitasi teknologi perusahaan dan mengidentifikasi kerentanan tambahan.
Setelah pengungkapan tersebut, CEO F5 Francois Locoh-Donou mengadakan pengarahan dengan pelanggan untuk menjelaskan ruang lingkup pelanggaran tersebut. Francois mengkonfirmasi bahwa perusahaan telah memanggil CrowdStrike dan Mandiant milik Google untuk membantu bersama penegak hukum dan penyelidik pemerintah.
Pejabat yang familiar dengan penyelidikan tersebut diduga memberi tahu Bloomberg bahwa pemerintah China berada di balik serangan tersebut. Namun juru bicara China menolak tuduhan tersebut sebagai "tidak berdasar dan dibuat tanpa bukti."
Ilia Rabinovich, wakil presiden konsultasi keamanan siber Sygnia, mengatakan bahwa dalam kasus yang diungkapkan Sygnia tahun lalu, peretas bersembunyi di dalam perangkat F5 dan menggunakannya sebagai basis "komando dan kontrol" untuk menyusup ke jaringan korban tanpa terdeteksi. "Ada potensi untuk berkembang menjadi sesuatu yang masif, karena banyak organisasi menerapkan perangkat tersebut," katanya.
Klaim kursi gratis Anda dalam komunitas perdagangan kripto eksklusif – terbatas untuk 1.000 anggota.
Source: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
