وفقًا لبلومبرج، اخترق قراصنة مرتبطون بوحدات الإنترنت المدعومة من الدولة الصينية الشبكات الداخلية لشركة F5 في أواخر عام 2023 وظلوا مختبئين حتى شهر أغسطس الماضي. اعترفت شركة الأمن السيبراني التي تتخذ من سياتل مقراً لها في ملفاتها بأن أنظمتها قد تم اختراقها لمدة عامين تقريبًا، مما سمح للمهاجمين بـ "وصول طويل المدى ومستمر" إلى بنيتها التحتية الداخلية.
وذكر التقرير أن الاختراق كشف عن شفرة المصدر، وبيانات التكوين الحساسة، ومعلومات حول نقاط الضعف البرمجية غير المعلنة في منصة BIG-IP الخاصة بها، وهي تقنية تدعم شبكات 85٪ من شركات فورتشن 500 والعديد من الوكالات الفيدرالية الأمريكية.
اخترق القراصنة من خلال برنامج F5 نفسه، الذي تم تركه معرضًا عبر الإنترنت بعد فشل الموظفين في اتباع سياسات الأمن الداخلية. استغل المهاجمون نقطة الضعف هذه للدخول والتجول بحرية داخل الأنظمة التي كان يجب أن تكون مغلقة.
أخبرت شركة F5 العملاء أن هذا الإهمال انتهك مباشرة نفس إرشادات الأمن السيبراني التي تعلمها الشركة لعملائها لاتباعها. عندما انتشر الخبر، انخفضت أسهم F5 بأكثر من 10٪ في 16 أكتوبر، مما أدى إلى خسارة ملايين في القيمة السوقية.
وقال كريس وودز، وهو مسؤول أمني سابق في HP وهو الآن مؤسس CyberQ Group Ltd.، وهي شركة خدمات أمن سيبراني في المملكة المتحدة: "بما أن معلومات الثغرة الأمنية متاحة الآن، يجب على كل من يستخدم F5 أن يفترض أنه تم اختراقه".
استخدم القراصنة تقنية F5 الخاصة للحفاظ على التخفي والسيطرة
وفقًا لبلومبرج، أرسلت F5 للعملاء يوم الأربعاء دليلًا لصيد التهديدات لنوع من البرامج الضارة يسمى Brickstorm يستخدمه قراصنة مدعومون من الدولة الصينية.
أكدت Mandiant، التي تم تعيينها من قبل F5، أن Brickstorm سمح للقراصنة بالتحرك بهدوء عبر الأجهزة الافتراضية VMware والبنية التحتية الأعمق. بعد تأمين موطئ قدم لهم، ظل المتسللون غير نشطين لأكثر من عام، وهي تكتيك قديم ولكنه فعال يهدف إلى انتظار فترة الاحتفاظ بسجلات أمن الشركة.
غالبًا ما يتم حذف السجلات، التي تسجل كل أثر رقمي، بعد 12 شهرًا لتوفير التكاليف. بمجرد اختفاء تلك السجلات، أعاد القراصنة تنشيطها وسحبوا البيانات من BIG-IP، بما في ذلك شفرة المصدر وتقارير الثغرات الأمنية.
قالت F5 أنه على الرغم من الوصول إلى بعض بيانات العملاء، فليس لديها دليل حقيقي على أن القراصنة غيروا شفرة المصدر الخاصة بها أو استخدموا المعلومات المسروقة لاستغلال العملاء.
تتعامل منصة BIG-IP من F5 مع توازن الحمل وأمن الشبكة، وتوجيه حركة المرور الرقمية وحماية الأنظمة من التسلل.
حكومتا الولايات المتحدة والمملكة المتحدة تصدران تحذيرات طارئة
وصفت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الحادث بأنه "تهديد سيبراني كبير يستهدف الشبكات الفيدرالية". في توجيه طارئ صدر يوم الأربعاء، أمرت CISA جميع الوكالات الفيدرالية بتحديد وتحديث منتجات F5 الخاصة بها بحلول 22 أكتوبر.
كما أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة تنبيهًا بشأن الاختراق يوم الأربعاء، محذرًا من أن القراصنة يمكنهم استخدام وصولهم إلى أنظمة F5 لاستغلال تقنية الشركة وتحديد نقاط ضعف إضافية.
بعد الكشف عن الاختراق، عقد الرئيس التنفيذي لشركة F5 فرانسوا لوكو-دونو إحاطات مع العملاء لشرح نطاق الاختراق. أكد فرانسوا أن الشركة استدعت CrowdStrike و Mandiant التابعة لجوجل للمساعدة إلى جانب المحققين من إنفاذ القانون والحكومة.
وزعم مسؤولون مطلعون على التحقيق لبلومبرج أن الحكومة الصينية كانت وراء الهجوم. لكن متحدثًا صينيًا رفض الاتهام باعتباره "لا أساس له وتم تقديمه بدون دليل".
قال إيليا رابينوفيتش، نائب رئيس استشارات الأمن السيبراني في Sygnia، إنه في الحالة التي كشفت عنها Sygnia العام الماضي، اختبأ القراصنة داخل أجهزة F5 واستخدموها كقاعدة "قيادة وتحكم" للتسلل إلى شبكات الضحايا دون اكتشافهم. وقال: "هناك احتمال أن يتطور الأمر إلى شيء هائل، لأن العديد من المنظمات تنشر تلك الأجهزة".
احصل على مقعدك المجاني في مجتمع تداول العملات المشفرة الحصري - محدود بـ 1000 عضو.
المصدر: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
