Bronnen die bekend zijn met de zaak vertelden Bloomberg dat Chinese staatshackers verantwoordelijk waren voor de inbreuk en dat de aanvallers minstens een jaar in het netwerk van F5 waren gebleven.
Gisteren (15 oktober) maakte het Amerikaanse cyberbeveiligingsbedrijf F5 kennis bekend van een aanzienlijke cyberaanval die bedreigingsactoren langdurig toegang gaf tot sommige van zijn systemen.
Volgens een door het bedrijf ingediende registratieaanvraag hoorde F5 eerder dit jaar, op 9 augustus, voor het eerst van de inbreuk – die het toeschreef aan een “zeer geavanceerde nationale dreigingsactor”.
Het in Seattle gevestigde bedrijf stelde vast dat de bedreigingsactoren “langdurige, aanhoudende toegang” behield tot bepaalde F5-systemen, waaronder de BIG-IP-productontwikkelomgeving, die op grote schaal wordt gebruikt door een aantal Fortune 500-bedrijven en overheidsinstanties. De aanvallers hebben ook inbreuk gemaakt op het technische kennisbeheerplatform van het bedrijf.
Volgens een verklaring op zijn website ontdekte F5 dat de bedreigingsacteur bestanden van deze platforms had geëxfiltreerd, waaronder een deel van de BIG-IP-broncode en informatie over niet-openbaar gemaakte kwetsbaarheden waaraan in de BIG-IP-omgeving werd gewerkt.
F5 – dat onlangs de door Ierland geleide cyberstart-up CalypsoAI overnam – verklaarde dat het geen bewijs had van toegang tot of exfiltratie van gegevens uit zijn CRM-, financiële, support case management- of iHealth-systemen. Het voegde er echter aan toe dat de geëxfiltreerde bestanden van zijn kennisbeheerplatform configuratie- of implementatie-informatie bevatten voor een “klein percentage van de klanten”, en dat er rechtstreeks contact zal worden opgenomen met die klanten.
Het bedrijf voegde eraan toe dat het “geen kennis heeft van niet-openbaar gemaakte kritieke of externe codekwetsbaarheden”, en dat het zich niet bewust is van “actieve exploitatie van niet-openbaar gemaakte F5-kwetsbaarheden”.
“We hebben uitgebreide maatregelen genomen om de dreigingsactor in bedwang te houden”, aldus de verklaring van F5. “Sinds we met deze activiteiten zijn begonnen, hebben we geen nieuwe ongeoorloofde activiteit gezien en we zijn van mening dat onze inperkingsinspanningen succesvol zijn geweest.”
Momenteel heeft F5 niet publiekelijk erkend dat een specifieke natiestaat verantwoordelijk is voor de aanval. Mensen die bekend zijn met het incident hebben Bloomberg echter verteld dat de aanval werd gepleegd door door de staat gesteunde hackers uit China.
Bronnen van Bloomberg vertelden de publicatie ook dat F5 getroffen klanten informeerde dat de aanvallers zich minstens twaalf maanden in het netwerk van het bedrijf bevonden.
Risico's en releases
In de nasleep van de bekendmaking door F5 van de aanval waarschuwde het Britse National Cyber Security Centre (NCSC) voor de manieren waarop bedreigingsactoren de inbreuk zouden kunnen benutten.
Volgens de organisatie zouden bedreigingsactoren de getroffen F5-producten kunnen misbruiken om toegang te krijgen tot ingebedde inloggegevens en API-sleutels, zich lateraal binnen het netwerk van een organisatie kunnen verplaatsen, gegevens kunnen exfiltreren en permanente systeemtoegang tot stand kunnen brengen.
Als onderdeel van de mitigatie-inspanningen heeft F5 updates uitgebracht voor zijn BIG-IP-, F5OS-, BIG-IP Next voor Kubernetes-, BIG-IQ- en APM-clients, en heeft het klanten geadviseerd zo snel mogelijk naar deze releases te updaten.
Het bedrijf verklaarde ook dat het werkt aan het implementeren van verbeteringen aan zijn productontwikkelomgeving en zijn netwerkbeveiligingsarchitectuur, en aan het herzien van zijn code op kwetsbaarheden.
‘Uw vertrouwen is belangrijk’, zei F5. “We weten dat het elke dag verdiend wordt, vooral als er iets misgaat.
“We betreuren het ten zeerste dat dit incident zich heeft voorgedaan en de risico's die dit voor u met zich mee kan brengen. We zijn vastbesloten om van dit incident te leren en deze lessen te delen met de bredere veiligheidsgemeenschap.”
De F5-inbreuk markeert een nieuwe grote cyberaanval in een zee van aanzienlijke inbreuken van de afgelopen maanden.
De Japanse bierproducent Asahi en Jaguar Land Rover werden vorige maand beide getroffen door grote cyberaanvallen die hun activiteiten ontwrichtten. De Britse luxeretailer Harrods kreeg in september ook te maken met een inbreuk, waarbij 430.000 klantgegevens werden gestolen bij een inbreuk door derden.
Rond dezelfde tijd beweerden cybercriminelen de foto's, namen en adressen van ongeveer 8.000 kinderen uit de Kido-kinderdagverblijfketen in Groot-Brittannië te hebben gestolen.
Vorige week onthulde het online berichtenplatform Discord dat bij maar liefst 70.000 van zijn wereldwijde gebruikers mogelijk de identiteitsgegevens van de overheid waren gelekt bij een kwaadwillige inbreuk op een klantenservice van een derde partij, terwijl een hackercollectief de gegevens van 5 miljoen klanten van een van de grootste luchtvaartmaatschappijen van Australië op het dark web had vrijgegeven nadat een deadline voor losgeld was verstreken.
