Theo Bloomberg, các hacker liên kết với các đơn vị mạng được nhà nước Trung Quốc hậu thuẫn đã xâm nhập vào mạng nội bộ của F5 vào cuối năm 2023 và ẩn náu cho đến tháng 8 năm nay. Công ty bảo mật mạng có trụ sở tại Seattle đã thừa nhận trong các hồ sơ rằng hệ thống của họ đã bị xâm phạm trong gần hai năm, cho phép những kẻ tấn công "truy cập lâu dài, liên tục" vào cơ sở hạ tầng nội bộ.
Vụ vi phạm được báo cáo đã làm lộ mã nguồn, dữ liệu cấu hình nhạy cảm và thông tin về các lỗ hổng phần mềm chưa được tiết lộ trong nền tảng BIG-IP, một công nghệ cung cấp năng lượng cho mạng lưới của 85% công ty Fortune 500 và nhiều cơ quan liên bang Hoa Kỳ.
Các hacker đã đột nhập thông qua phần mềm của chính F5, phần mềm này đã bị để lộ trực tuyến sau khi nhân viên không tuân theo các chính sách bảo mật nội bộ. Những kẻ tấn công đã khai thác điểm yếu đó để xâm nhập và tự do di chuyển bên trong các hệ thống lẽ ra phải được khóa chặt.
Công ty F5 đã thông báo với khách hàng rằng sự sơ suất này trực tiếp vi phạm các hướng dẫn bảo mật mạng mà công ty dạy cho khách hàng của mình tuân theo. Khi tin tức được công bố, cổ phiếu của F5 đã giảm hơn 10% vào ngày 16 tháng 10, xóa sổ hàng triệu giá trị thị trường.
"Vì thông tin về lỗ hổng đó đã bị lộ, tất cả những ai sử dụng F5 nên giả định rằng họ đã bị xâm phạm," Chris Woods, cựu giám đốc bảo mật của HP, hiện là người sáng lập CyberQ Group Ltd., một công ty dịch vụ bảo mật mạng tại Vương quốc Anh cho biết.
Hacker sử dụng công nghệ của chính F5 để duy trì tính bí mật và kiểm soát
Theo Bloomberg, F5 đã gửi cho khách hàng vào hôm thứ Tư một hướng dẫn săn lùng mối đe dọa cho một loại phần mềm độc hại có tên Brickstorm được sử dụng bởi các hacker được nhà nước Trung Quốc hậu thuẫn.
Mandiant, được F5 thuê, đã xác nhận rằng Brickstorm cho phép hacker di chuyển một cách yên lặng qua các máy ảo VMware và cơ sở hạ tầng sâu hơn. Sau khi củng cố vị trí của mình, những kẻ xâm nhập đã ở trạng thái không hoạt động trong hơn một năm, một chiến thuật cũ nhưng hiệu quả nhằm chờ đợi cho đến khi hết thời gian lưu giữ nhật ký bảo mật của công ty.
Nhật ký, ghi lại mọi dấu vết kỹ thuật số, thường bị xóa sau 12 tháng để tiết kiệm chi phí. Khi những nhật ký đó biến mất, các hacker đã kích hoạt lại và lấy dữ liệu từ BIG-IP, bao gồm mã nguồn và báo cáo lỗ hổng.
F5 cho biết mặc dù một số dữ liệu khách hàng đã bị truy cập, nhưng họ không có bằng chứng thực sự nào cho thấy hacker đã thay đổi mã nguồn của họ hoặc sử dụng thông tin bị đánh cắp để khai thác khách hàng.
Nền tảng BIG-IP của F5 xử lý cân bằng tải và bảo mật mạng, định tuyến lưu lượng kỹ thuật số và bảo vệ hệ thống khỏi xâm nhập.
Chính phủ Hoa Kỳ và Vương quốc Anh đưa ra cảnh báo khẩn cấp
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) gọi sự cố này là "mối đe dọa an ninh mạng đáng kể nhắm vào các mạng liên bang." Trong một chỉ thị khẩn cấp được ban hành vào hôm thứ Tư, CISA đã yêu cầu tất cả các cơ quan liên bang xác định và cập nhật sản phẩm F5 của họ trước ngày 22 tháng 10.
Trung tâm An ninh mạng Quốc gia của Vương quốc Anh cũng đã đưa ra cảnh báo về vụ vi phạm vào hôm thứ Tư, cảnh báo rằng hacker có thể sử dụng quyền truy cập vào hệ thống F5 để khai thác công nghệ của công ty và xác định các lỗ hổng bổ sung.
Sau khi tiết lộ, CEO của F5 Francois Locoh-Donou đã tổ chức các buổi họp với khách hàng để giải thích phạm vi của vụ vi phạm. Francois xác nhận rằng công ty đã gọi CrowdStrike và Mandiant của Google để hỗ trợ cùng với cơ quan thực thi pháp luật và các điều tra viên chính phủ.
Các quan chức quen thuộc với cuộc điều tra được cho là đã nói với Bloomberg rằng chính phủ Trung Quốc đứng sau vụ tấn công. Nhưng một phát ngôn viên Trung Quốc đã bác bỏ cáo buộc này là "vô căn cứ và đưa ra mà không có bằng chứng."
Ilia Rabinovich, phó chủ tịch tư vấn bảo mật mạng của Sygnia, cho biết trong trường hợp Sygnia tiết lộ năm ngoái, các hacker đã ẩn náu bên trong các thiết bị F5 và sử dụng chúng làm cơ sở "chỉ huy và kiểm soát" để xâm nhập vào mạng nạn nhân mà không bị phát hiện. "Có khả năng nó sẽ phát triển thành một thứ gì đó rất lớn, bởi vì nhiều tổ chức triển khai những thiết bị đó," ông nói.
Nhận chỗ ngồi miễn phí của bạn trong một cộng đồng giao dịch tiền mã hóa độc quyền - giới hạn 1,000 thành viên.
Source: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
