据彭博社报道,与中国国家支持的网络部队有关联的黑客于2023年底入侵了F5的内部网络,并一直隐藏到今年8月。这家总部位于西雅图的网络安全公司在文件中承认,其系统已被入侵近两年,使攻击者能够"长期、持续地访问"其内部基础设施。
据报道,这次入侵暴露了其BIG-IP平台的源代码、敏感配置数据以及有关未公开软件漏洞的信息,该技术为85%的财富500强公司和许多美国联邦机构的网络提供支持。
黑客通过F5自己的软件入侵,该软件在员工未能遵循内部安全政策后在网上暴露。攻击者利用这个弱点进入并在本应被锁定的系统内自由活动。
F5公司告诉客户,这一疏忽直接违反了公司教导客户遵循的同一网络安全指南。当消息传出后,F5的股价在10月16日下跌超过10%,市值蒸发数百万。
"既然这些漏洞信息已经公开,所有使用F5的人都应该假设他们已被入侵,"前惠普安全主管、现为英国网络安全服务公司CyberQ Group Ltd.创始人的Chris Woods表示。
黑客利用F5自身技术保持隐蔽和控制
据彭博社报道,F5在周三向客户发送了一份关于名为Brickstorm的恶意软件的威胁狩猎指南,该恶意软件被中国国家支持的黑客使用。
受F5雇佣的Mandiant确认,Brickstorm允许黑客通过VMware虚拟机和更深层次的基础设施悄然移动。在确保立足点后,入侵者保持不活动状态超过一年,这是一种古老但有效的策略,旨在等待公司的安全日志保留期结束。
记录每个数字痕迹的日志通常在12个月后被删除以节省成本。一旦这些日志消失,黑客重新激活并从BIG-IP提取数据,包括源代码和漏洞报告。
F5表示,虽然一些客户数据被访问,但没有确凿证据表明黑客更改了其源代码或使用被盗信息来攻击客户。
F5的BIG-IP平台处理负载均衡和网络安全,路由数字流量并保护系统免受入侵。
美国和英国政府发布紧急警告
美国网络安全和基础设施安全局(CISA)称该事件为"针对联邦网络的重大网络威胁"。在周三发布的紧急指令中,CISA命令所有联邦机构在10月22日前识别并更新其F5产品。
英国国家网络安全中心也在周三就该入侵发出警报,警告黑客可能利用他们对F5系统的访问权限来利用该公司的技术并识别额外的漏洞。
在披露后,F5首席执行官Francois Locoh-Donou与客户举行了简报会,解释入侵的范围。Francois确认公司已请来CrowdStrike和谷歌的Mandiant协助执法和政府调查人员。
据彭博社报道,熟悉调查的官员声称中国政府是此次攻击的幕后黑手。但中国发言人驳斥这一指控为"毫无根据且没有证据"。
Sygnia网络安全咨询副总裁Ilia Rabinovich表示,在Sygnia去年披露的案例中,黑客隐藏在F5的设备内部,并将其用作"命令和控制"基地,在不被发现的情况下渗透受害者网络。"这有可能演变成一个巨大的问题,因为众多组织都部署了这些设备,"他说。
在这个限制1,000名成员的专属加密货币交易社区中申请您的免费席位。
来源:https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
