Selon Bloomberg, des pirates informatiques liés aux unités cybernétiques soutenues par l'État chinois ont infiltré les réseaux internes de F5 fin 2023 et sont restés cachés jusqu'en août dernier. L'entreprise de cybersécurité basée à Seattle a admis dans ses documents que ses systèmes avaient été compromis pendant près de deux ans, permettant aux attaquants un "accès persistant à long terme" à son infrastructure interne.
La violation aurait exposé le code source, des données de configuration sensibles et des informations sur des vulnérabilités logicielles non divulguées dans sa plateforme BIG-IP, une technologie qui alimente les réseaux de 85% des entreprises du Fortune 500 et de nombreuses agences fédérales américaines.
Les pirates ont pénétré via le propre logiciel de F5, qui avait été laissé exposé en ligne après que des employés n'aient pas respecté les politiques de sécurité internes. Les attaquants ont exploité ce point faible pour entrer et circuler librement dans des systèmes qui auraient dû être verrouillés.
F5 a informé ses clients que cette négligence violait directement les mêmes directives de cybersécurité que l'entreprise enseigne à ses clients. Lorsque la nouvelle a éclaté, les actions de F5 ont chuté de plus de 10% le 16 octobre, effaçant des millions en valeur marchande.
"Puisque ces informations sur les vulnérabilités sont désormais publiques, tous les utilisateurs de F5 devraient supposer qu'ils sont compromis," a déclaré Chris Woods, ancien responsable de la sécurité chez HP qui est maintenant fondateur de CyberQ Group Ltd., une entreprise de services de cybersécurité au Royaume-Uni.
Les pirates ont utilisé la propre technologie de F5 pour maintenir furtivité et contrôle
Selon Bloomberg, F5 a envoyé mercredi à ses clients un guide de chasse aux menaces pour un type de logiciel malveillant appelé Brickstorm utilisé par des pirates soutenus par l'État chinois.
Mandiant, engagé par F5, a confirmé que Brickstorm permettait aux pirates de se déplacer discrètement à travers les machines virtuelles VMware et l'infrastructure plus profonde. Après avoir sécurisé leur point d'ancrage, les intrus sont restés inactifs pendant plus d'un an, une tactique ancienne mais efficace destinée à dépasser la période de conservation des journaux de sécurité de l'entreprise.
Les journaux, qui enregistrent chaque trace numérique, sont souvent supprimés après 12 mois pour réduire les coûts. Une fois ces journaux disparus, les pirates se sont réactivés et ont extrait des données de BIG-IP, y compris le code source et les rapports de vulnérabilité.
F5 a déclaré que bien que certaines données clients aient été consultées, elle n'a aucune preuve réelle que les pirates aient modifié son code source ou utilisé les informations volées pour exploiter des clients.
La plateforme BIG-IP de F5 gère l'équilibrage de charge et la sécurité du réseau, routant le trafic numérique et protégeant les systèmes contre les intrusions.
Les gouvernements américain et britannique émettent des avertissements d'urgence
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a qualifié l'incident de "menace cybernétique significative ciblant les réseaux fédéraux." Dans une directive d'urgence émise mercredi, la CISA a ordonné à toutes les agences fédérales d'identifier et de mettre à jour leurs produits F5 avant le 22 octobre.
Le Centre national de cybersécurité du Royaume-Uni a également émis une alerte concernant la violation mercredi, avertissant que les pirates pourraient utiliser leur accès aux systèmes F5 pour exploiter la technologie de l'entreprise et identifier des vulnérabilités supplémentaires.
Suite à cette divulgation, le PDG de F5, François Locoh-Donou, a tenu des réunions d'information avec les clients pour expliquer l'étendue de la violation. François a confirmé que l'entreprise avait fait appel à CrowdStrike et à Mandiant de Google pour aider aux côtés des forces de l'ordre et des enquêteurs gouvernementaux.
Des responsables familiers avec l'enquête auraient déclaré à Bloomberg que le gouvernement chinois était derrière l'attaque. Mais un porte-parole chinois a rejeté l'accusation comme étant "sans fondement et faite sans preuve."
Ilia Rabinovich, vice-président du conseil en cybersécurité de Sygnia, a déclaré que dans le cas divulgué par Sygnia l'année dernière, les pirates se cachaient dans les appareils F5 et les utilisaient comme base de "commande et contrôle" pour infiltrer les réseaux des victimes sans être détectés. "Il y a un potentiel pour que cela évolue vers quelque chose de massif, car de nombreuses organisations déploient ces appareils," a-t-il déclaré.
Réclamez votre place gratuite dans une communauté exclusive de trading de crypto - limitée à 1 000 membres.
Source: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
