根據彭博社報導,與中國國家支持的網絡部門有關聯的駭客於2023年底入侵了F5的內部網絡,並隱藏至今年8月。這家總部位於西雅圖的網絡安全公司在文件中承認,其系統已被入侵近兩年,使攻擊者能夠"長期、持續地訪問"其內部基礎設施。
據報導,這次入侵暴露了源代碼、敏感配置數據以及其BIG-IP平台中未公開的軟件漏洞信息,該技術為85%的財富500強公司和許多美國聯邦機構的網絡提供支持。
駭客通過F5自己的軟件入侵,該軟件在員工未能遵循內部安全政策後被暴露在網上。攻擊者利用這個弱點進入並在本應被鎖定的系統內自由活動。
F5公司告訴客戶,這一疏忽直接違反了公司教導客戶遵循的同一網絡指南。當消息傳出後,F5的股價在10月16日下跌了超過10%,市值蒸發了數百萬美元。
"既然這些漏洞信息已經公開,所有使用F5的人都應該假設他們已被入侵,"前HP安全主管、現為英國網絡安全服務公司CyberQ Group Ltd.創始人的Chris Woods表示。
駭客利用F5自身技術維持隱蔽和控制
根據彭博社報導,F5在週三向客戶發送了一份關於名為Brickstorm的惡意軟件的威脅獵捕指南,該惡意軟件被中國國家支持的駭客使用。
被F5聘請的Mandiant確認,Brickstorm允許駭客在VMware虛擬機和更深層次的基礎設施中悄然移動。在確保立足點後,入侵者保持不活動超過一年,這是一種老舊但有效的策略,旨在等待公司的安全日誌保留期過去。
記錄每一個數字痕跡的日誌通常在12個月後被刪除以節省成本。一旦這些日誌消失,駭客重新激活並從BIG-IP中提取數據,包括源代碼和漏洞報告。
F5表示,雖然一些客戶數據被訪問,但沒有確鑿證據表明駭客更改了其源代碼或使用被盜信息來攻擊客戶。
F5的BIG-IP平台處理負載平衡和網絡安全,路由數字流量並保護系統免受入侵。
美國和英國政府發布緊急警告
美國網絡安全和基礎設施安全局(CISA)稱此事件為"針對聯邦網絡的重大網絡威脅"。在週三發布的緊急指令中,CISA命令所有聯邦機構在10月22日前識別並更新其F5產品。
英國國家網絡安全中心也在週三就該入侵發出警報,警告駭客可能利用他們對F5系統的訪問來利用公司的技術並識別額外的漏洞。
在披露後,F5首席執行官Francois Locoh-Donou與客戶舉行了簡報會,解釋入侵的範圍。Francois確認公司已請來CrowdStrike和Google的Mandiant協助,同時還有執法和政府調查人員。
據彭博社報導,熟悉調查的官員稱中國政府是此次攻擊的幕後黑手。但中國發言人駁斥這一指控,稱其"毫無根據且沒有證據"。
Sygnia網絡安全諮詢副總裁Ilia Rabinovich表示,在Sygnia去年披露的案例中,駭客隱藏在F5的設備內,並將其用作"命令和控制"基地,以不被發現的方式滲透受害者網絡。"這有可能演變成大規模事件,因為眾多組織部署了這些設備,"他說。
在限制1,000名成員的專屬加密貨幣交易社區中申請您的免費席位。
來源:https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
