Hacker mit Verbindungen zu staatlich unterstützten chinesischen Cyber-Einheiten drangen laut Bloomberg Ende 2023 in die internen Netzwerke von F5 ein und blieben bis August dieses Jahres verborgen. Das in Seattle ansässige Cybersicherheitsunternehmen gab in Unterlagen zu, dass seine Systeme fast zwei Jahre lang kompromittiert waren, was den Angreifern "langfristigen, dauerhaften Zugriff" auf seine interne Infrastruktur ermöglichte.
Der Einbruch legte Berichten zufolge Quellcode, sensible Konfigurationsdaten und Informationen über nicht offengelegte Softwareschwachstellen in der BIG-IP-Plattform offen, einer Technologie, die die Netzwerke von 85% der Fortune-500-Unternehmen und vieler US-Bundesbehörden betreibt.
Die Hacker drangen über F5's eigene Software ein, die online zugänglich geblieben war, nachdem Mitarbeiter interne Sicherheitsrichtlinien nicht befolgt hatten. Die Angreifer nutzten diese Schwachstelle, um einzudringen und sich frei in Systemen zu bewegen, die eigentlich gesperrt sein sollten.
F5 teilte Kunden mit, dass dieses Versäumnis direkt gegen dieselben Cyber-Richtlinien verstieß, die das Unternehmen seinen Kunden zu befolgen lehrt. Als die Nachricht bekannt wurde, fielen die Aktien von F5 am 16. Oktober um mehr als 10%, was Millionen an Marktwert vernichtete.
"Da diese Informationen über Schwachstellen nun bekannt sind, sollte jeder, der F5 nutzt, davon ausgehen, dass er kompromittiert ist", sagte Chris Woods, ein ehemaliger Sicherheitsmanager bei HP, der jetzt Gründer von CyberQ Group Ltd. ist, einem Cybersicherheitsdienstleister in Großbritannien.
Hacker nutzten F5's eigene Technologie, um Tarnung und Kontrolle aufrechtzuerhalten
F5 schickte Kunden am Mittwoch einen Leitfaden zur Bedrohungsjagd für eine Art Malware namens Brickstorm, die von staatlich unterstützten chinesischen Hackern verwendet wird, laut Bloomberg.
Mandiant, das von F5 beauftragt wurde, bestätigte, dass Brickstorm es Hackern ermöglichte, sich leise durch VMware-virtuelle Maschinen und tiefere Infrastruktur zu bewegen. Nachdem sie ihren Zugang gesichert hatten, blieben die Eindringlinge über ein Jahr inaktiv, eine alte, aber effektive Taktik, die darauf abzielte, die Aufbewahrungsfrist der Sicherheitsprotokolle des Unternehmens zu überdauern.
Protokolle, die jede digitale Spur aufzeichnen, werden oft nach 12 Monaten gelöscht, um Kosten zu sparen. Nachdem diese Protokolle verschwunden waren, reaktivierten sich die Hacker und zogen Daten aus BIG-IP, einschließlich Quellcode und Schwachstellenberichte.
F5 sagte, dass zwar auf einige Kundendaten zugegriffen wurde, es aber keine wirklichen Beweise dafür gibt, dass Hacker seinen Quellcode geändert oder die gestohlenen Informationen zur Ausnutzung von Kunden verwendet haben.
Die BIG-IP-Plattform von F5 übernimmt Lastausgleich und Netzwerksicherheit, leitet digitalen Verkehr und schützt Systeme vor Eindringlingen.
US- und UK-Regierungen geben Notfallwarnungen heraus
Die US Cybersecurity and Infrastructure Security Agency (CISA) bezeichnete den Vorfall als "signifikante Cyber-Bedrohung, die auf föderale Netzwerke abzielt." In einer am Mittwoch herausgegebenen Notfallanweisung ordnete die CISA an, dass alle Bundesbehörden ihre F5-Produkte bis zum 22. Oktober identifizieren und aktualisieren müssen.
Das britische National Cyber Security Centre gab am Mittwoch ebenfalls eine Warnung über den Einbruch heraus und warnte, dass Hacker ihren Zugang zu F5-Systemen nutzen könnten, um die Technologie des Unternehmens auszunutzen und zusätzliche Schwachstellen zu identifizieren.
Nach der Offenlegung hielt F5-CEO Francois Locoh-Donou Briefings mit Kunden ab, um den Umfang des Einbruchs zu erklären. Francois bestätigte, dass das Unternehmen CrowdStrike und Googles Mandiant zur Unterstützung neben Strafverfolgungsbehörden und Regierungsermittlern hinzugezogen hatte.
Mit der Untersuchung vertraute Beamte sollen Bloomberg mitgeteilt haben, dass die chinesische Regierung hinter dem Angriff steckte. Ein chinesischer Sprecher wies die Anschuldigung jedoch als "unbegründet und ohne Beweise" zurück.
Ilia Rabinovich, Sygnias Vizepräsident für Cybersicherheitsberatung, sagte, dass in dem Fall, den Sygnia letztes Jahr offenlegte, Hacker sich in F5-Geräten versteckten und sie als "Kommando- und Kontrollbasis" nutzten, um unentdeckt in Opfernetzwerke einzudringen. "Es besteht das Potenzial, dass sich dies zu etwas Massivem entwickelt, da zahlreiche Organisationen diese Geräte einsetzen", sagte er.
Sichern Sie sich Ihren kostenlosen Platz in einer exklusiven Krypto-Handelsgemeinschaft – begrenzt auf 1.000 Mitglieder.
Quelle: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
