F5 – dostawca rozwiązań bezpieczeństwa i aplikacji, ujawnił w środę 15 października w dokumentach złożonych w Komisji Papierów Wartościowych i Giełd (SEC), że hakerzy utrzymywali długotrwały i stały dostęp do niektórych systemów firmy, w tym tych związanych z rozwojem flagowej platformy BIG-IP.

Autor: 3 min czytania

Atakującym udało się wykraść niektóre pliki, w tym te zawierające kod źródłowy BIG-IP i informacje o nieujawnionych lukach w zabezpieczeniach. F5 twierdzi jednak, że nie ma wiedzy o żadnych niepublicznych lukach, które byłyby krytyczne lub umożliwiałyby zdalne wykonanie kodu, ani o żadnym aktywnym wykorzystaniu nieujawnionych luk.

„Nie mamy żadnych dowodów na modyfikację naszego łańcucha dostaw oprogramowania, w tym kodu źródłowego oraz procesów kompilacji i wydania” – oświadczyło F5, dodając: „Nie mamy też żadnych dowodów na to, że atakujący uzyskał dostęp do kodu źródłowego NGINX lub środowiska programistycznego, ani że uzyskał dostęp do naszych systemów F5 Distributed Cloud Services lub Silverline, ani że je zmodyfikował”.

Firma wskazała również, że nic nie wskazuje, by hakerzy uzyskali dostęp do danych z jej systemów CRM, finansowych, iHealth lub zarządzania zgłoszeniami pomocy technicznej.

Niektóre pliki wykradzione z platformy zarządzania wiedzą inżynierską zawierały dane konfiguracyjne i wdrożeniowe dotyczące „niewielkiego odsetka” klientów. Pliki te są obecnie analizowane, a klienci zostaną bezpośrednio powiadomieni w razie potrzeby.

F5 wykryło atak 9 sierpnia, ale otrzymało zgodę Departamentu Sprawiedliwości USA na opóźnienie ujawnienia informacji. W amerykańskim prawie spółki publiczne są zobowiązane do upublicznienia każdego istotnego incydentu cyberbezpieczeństwa w ciągu czterech dni roboczych, chyba że Departament Sprawiedliwości wyrazi zgodę na odroczenie. Środowe zgłoszenie F5 wskazuje, że incydent nie miał istotnego wpływu na działalność firmy i ta nadal ustala, czy wpłynie on na jej kondycję finansową lub wyniki operacyjne.

F5 nie udostępniło żadnych dodatkowych informacji na temat sprawcy, ale profil ataku wskazuje na Chiny, bowiem chińscy hakerzy są znani z tego, że atakują duże firmy programistyczne w celu znalezienia nieujawnionych luk w zabezpieczeniach.

Na przykład po niedawnych atakach na ToolShell wymierzonych w serwery SharePoint, Microsoft podobno wszczął dochodzenie w celu ustalenia, czy chińskie podmioty działające w imieniu państwa uzyskały informacje o wykorzystanych lukach w zabezpieczeniach SharePoint od firm zarejestrowanych w programie Microsoft Active Protections Program (MAPP), dzięki któremu dostawcy otrzymują informacje o krytycznych lukach przed opinią publiczną.

Threat Intelligence Group i Mandiant firmy Google poinformowały niedawno, że kampania przypisywana chińskim cyberszpiegom była wymierzona w branże oprogramowania jako usługi (SaaS) i technologii, a jednym z celów atakujących mogła być kradzież kodu źródłowego, który mogliby analizować w poszukiwaniu luk typu zero-day.

Ponadto potwierdzono, że już wcześniej chińscy hakerzy obrali sobie za cel urządzenia BIG-IP w swoich atakach.