Källor som är bekanta med saken sa till Bloomberg att kinesiska statssponsrade hackare var ansvariga för intrånget och att angriparna hade varit kvar i F5:s nätverk i minst ett år.
I går (15 oktober) avslöjade det amerikanska cybersäkerhetsföretaget F5 kunskap om en betydande cyberattack som gav hotaktörer långvarig tillgång till några av dess system.
Enligt en regulatorisk anmälan som lämnats in av företaget fick F5 först veta om intrånget – som det tillskrev en ”mycket sofistikerad nationalstatlig hotaktör” – tidigare i år den 9 augusti.
Det Seattle-baserade företaget fastställde att hotaktören behöll ”långsiktig, ihållande tillgång” till vissa F5-system, inklusive dess BIG-IP produktutvecklingsmiljö, som används flitigt av ett antal Fortune 500-företag och statliga myndigheter. Angriparna bröt också mot företagets plattform för teknisk kunskapshantering.
Enligt ett uttalande på sin hemsida upptäckte F5 att hotaktören hade exfiltrerat filer från dessa plattformar, inklusive en del av BIG-IP-källkoden och information om hemliga sårbarheter som arbetade med i BIG-IP-miljön.
F5 – som nyligen förvärvade den irländskledda cyberstart-upen CalypsoAI – uppgav att de inte hade några bevis för tillgång till, eller exfiltrering av, data från dess CRM-system, ekonomi-, supportärendehantering eller iHealth-system. Den tillade dock att exfiltrerade filer från dess kunskapshanteringsplattform innehöll konfigurations- eller implementeringsinformation för en ”liten andel av kunderna”, och att dessa kunder kommer att kontaktas direkt.
Företaget tillade att det inte har ”ingen kännedom om hemliga kritiska eller avlägsna kodsårbarheter”, och att det inte är medvetet om ”aktivt utnyttjande av några hemliga F5-sårbarheter”.
”Vi har vidtagit omfattande åtgärder för att begränsa hotaktören”, löd F5:s uttalande. ”Sedan vi började dessa aktiviteter har vi inte sett någon ny obehörig aktivitet, och vi tror att våra inneslutningsinsatser har varit framgångsrika.”
För närvarande har F5 inte offentligt erkänt någon specifik nationalstat som ansvarig för attacken. Men personer som är bekanta med händelsen har enligt uppgift berättat för Bloomberg att attacken utfördes av statligt stödda hackare från Kina.
Bloombergs källor berättade också för publikationen att F5 informerade berörda kunder om att angriparna var i företagets nätverk i minst 12 månader.
Risker och utsläpp
I efterdyningarna av F5:s avslöjande av attacken varnade Storbritanniens National Cyber Security Center (NCSC) för de sätt på vilka hotaktörer kunde utnyttja intrånget.
Enligt organisationen kan hotaktörer utnyttja de påverkade F5-produkterna för att få åtkomst till inbäddade referenser och API-nycklar, röra sig i sidled inom en organisations nätverk, exfiltrera data och etablera beständig systemåtkomst.
Som en del av sina begränsningsåtgärder har F5 släppt uppdateringar för sina BIG-IP, F5OS, BIG-IP Next för Kubernetes, BIG-IQ och APM-klienter, och har rådet kunder att uppdatera till dessa utgåvor så snart som möjligt.
Företaget uppgav också att det arbetar med att distribuera förbättringar av sin produktutvecklingsmiljö och sin nätverkssäkerhetsarkitektur, samt att se över sin kod för sårbarheter.
”Ditt förtroende är viktigt,” sa F5. ”Vi vet att det tjänas in varje dag, särskilt när det går fel.
”Vi beklagar verkligen att den här incidenten inträffade och risken den kan skapa för dig. Vi är fast beslutna att lära oss av denna incident och dela lärdomarna med det bredare säkerhetssamhället.”
F5-intrånget markerar ännu en stor cyberattack i ett hav av betydande intrång under de senaste månaderna.
Den japanska öltillverkaren Asahi och Jaguar Land Rover drabbades båda av stora cyberattacker förra månaden som störde deras verksamhet. Den brittiska lyxåterförsäljaren Harrods drabbades också av ett intrång i september, där 430 000 kundregister stals i ett brott från tredje part.
Ungefär samtidigt hävdade cyberbrottslingar att de stulit bilderna, namnen och adresserna på cirka 8 000 barn från barnhemskedjan Kido i Storbritannien.
Bara förra veckan avslöjade onlinemeddelandeplattformen Discord att så många som 70 000 av dess globala användare kan ha fått sina myndighets-ID:n läckta i ett skadligt intrång på en tredjeparts kundsupporttjänst, medan ett hackerkollektiv släppte data från 5 miljoner kunder hos ett av Australiens största flygbolag till den mörka webben efter att en lösentidsfrist passerat.
