ブルームバーグによると、中国の国家支援サイバーユニットに関連するハッカーが2023年後半にF5の内部ネットワークに侵入し、今年8月まで潜伏していたとのことです。シアトルを拠点とするこのサイバーセキュリティー企業は、提出書類の中で、システムが約2年間にわたって侵害され、攻撃者に「長期的、固定接続中」の内部インフラへのアクセスを許していたことを認めました。
この侵害により、フォーチュン500企業の85%と多くの米国連邦機関のネットワークを支えるテクノロジーであるBIG-IPプラットフォームの送信元アドレス、機密設定データ、および未公開のソフトウェア脆弱性に関する情報が露出したと報告されています。
ハッカーは、従業員が内部セキュリティーポリシーに従わなかったためにオンラインで露出していたF5自身のソフトウェアを通じて侵入しました。攻撃者はその弱点を悪用して、本来ならロックダウンされているはずのシステム内に侵入し、自由に動き回りました。
F5社は顧客に対し、この監視ミスは同社が顧客に従うよう指導しているのと同じサイバーガイドラインに直接違反していたと伝えました。このニュースが報じられると、F5の株価は10月16日に10%以上下落し、時価総額は数百万ドル消失しました。
「その脆弱性情報が出回っている以上、F5を使用している全ての人は自分たちが侵害されていると想定すべきだ」と、かつてHPのセキュリティ幹部で、現在は英国のサイバーセキュリティサービス企業CyberQ Group Ltd.の創設者であるクリス・ウッズ氏は述べました。
ハッカーはF5自身のテクノロジーを使用して隠密性と制御を維持
ブルームバーグによると、F5は水曜日に顧客に対し、中国の国家支援ハッカーが使用するBrickstormと呼ばれるマルウェアの脅威ハンティングガイドを送信したとのことです。
F5が雇ったMandiantは、BrickstormによってハッカーがVMware仮想マシンとより深いインフラを通じて静かに移動できることを確認しました。足場を固めた後、侵入者は1年以上にわたって活動を停止しました。これは古いが効果的な戦術で、企業のセキュリティログ保持期間を待ち過ごすことを目的としていました。
すべてのデジタル痕跡を記録するログは、コスト削減のために多くの場合12ヶ月後に削除されます。これらのログが消えると、ハッカーは再び活動を開始し、送信元アドレスや脆弱性レポートを含むBIG-IPからデータを引き出しました。
F5は、一部の顧客データにアクセスされたものの、ハッカーが送信元アドレスを変更したり、盗まれた情報を使って顧客を悪用したりした実質的な証拠はないと述べています。
F5のBIG-IPプラットフォームは、負荷分散とネットワークセキュリティーを処理し、デジタルトラフィックをルーティングし、システムを侵入から保護します。
米国と英国の政府が緊急警告を発令
米国サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、この事件を「連邦ネットワークを標的とする重大なサイバー脅威」と呼びました。水曜日に発行された緊急指令で、CISAはすべての連邦機関に10月22日までにF5製品を特定し更新するよう命じました。
英国の国立サイバーセキュリティセンターも水曜日に侵害に関する警告を発し、ハッカーがF5システムへのアクセスを利用して同社のテクノロジーを悪用し、追加の脆弱性を特定する可能性があると警告しました。
開示後、F5のCEOであるフランソワ・ロコ=ドヌーは顧客とのブリーフィングを開催し、侵害の範囲を説明しました。フランソワ氏は、同社が法執行機関や政府の調査官とともに、CrowdStrikeとGoogleのMandiantを呼び寄せて支援を求めたことを確認しました。
調査に詳しい関係者は、ブルームバーグに対し、中国政府がこの攻撃の背後にいると伝えたとされています。しかし、中国の報道官はこの非難を「根拠がなく、証拠なしに行われたもの」として退けました。
Sygniaのサイバーセキュリティコンサルティング担当副社長であるイリア・ラビノビッチ氏は、昨年Sygniaが開示した事例では、ハッカーがF5の機器内に隠れ、それらを「コマンド&コントロール」の拠点として使用し、被害者のネットワークに気付かれずに侵入したと述べました。「多くの組織がこれらのデバイスを導入しているため、これが大規模なものに発展する可能性がある」と彼は言いました。
限定1,000名の暗号資産取引コミュニティで無料席を確保しましょう。
出典: https://www.cryptopolitan.com/ccp-hackers-hid-inside-f5-networks-for-years/
