F5:n osakkeet romahtivat paljastettuaan suuren tietomurron, joka liittyy valtion tukemiin kiinalaisiin hakkereihin

Yhdysvaltalaisen kyberturvallisuusyrityksen F5 Inc:n osakkeet laskivat torstaina yli 12 %, mikä merkitsee jyrkintä yhden päivän laskua sitten huhtikuun 2022 paljastettuaan merkittävän tietoturvaloukkauksen, joka johtuu "erittäin kehittyneestä kansallisvaltion uhkatoimijasta".

Yhtiön mukaan hyökkääjä sai pitkäaikaisen pääsyn osiin sisäisistä järjestelmistään, mikä herätti uusia huolenaiheita kriittisen infrastruktuurin ohjelmistojen haavoittuvuuksista.

Tietomurto paljastaa lähdekoodin ja julkistamattomat haavoittuvuudet

Securities and Exchange Commissionin (SEC) myöhään keskiviikkona tekemässä ilmoituksessa F5 paljasti, että tietomurto vaikutti sen BIG-IP-tuotekehitysympäristöön, ydinalustaan, jota käytetään verkkoliikenteen hallintaan ja sovellusten turvallisuuteen.

Hakemuksen mukaan hyökkääjä pääsi käsiksi tiedostoihin, jotka sisälsivät lähdekoodin ja tietoja BIG-IP-tuotteen paljastamattomista haavoittuvuuksista.

F5 sanoi, että se sai ensimmäisen kerran tiedon tunkeutumisesta elokuussa ja käynnisti välittömästi sisäisen tutkinnan.

Yhtiö korosti, että se ei ole löytänyt todisteita jatkuvasta luvattomasta toiminnasta tai aiemmin julkistamattomien haavoittuvuuksien hyödyntämisestä.

"Meillä ei ole tietoa julkistamattomista kriittisistä tai etäkoodin haavoittuvuuksista, emmekä ole tietoisia julkistamattomien F5-haavoittuvuuksien aktiivisesta hyödyntämisestä", yhtiö sanoi lausunnossaan.

Bloombergin siteeraamat lähteet kuitenkin myöhemmin katsoivat hyökkäyksen johtuvan valtion tukemista kiinalaisista hakkereista, joiden kerrotaan soluttautuneen yhtiön järjestelmiin vähintään 12 kuukauden ajan.

Hyökkääjät ottivat käyttöön Brickstorm-nimisen haittaohjelmatyökalun, jonka kyberturvallisuusasiantuntijat kuvailevat pystyvän ylläpitämään pitkäaikaista, salaista pääsyä.

Haittaohjelmien ja uhkien attribuutio

Haittaohjelma, Brickstorm, on yhdistetty epäiltyyn Kiinan ja yhteyden uhkaryhmään, joka tunnetaan nimellä UNC5221, Googlen Threat Intelligence Groupin tutkimuksen mukaan.

Haittaohjelman avulla tunkeilijat voivat pysyä havaitsemattomina järjestelmissä pitkiä aikoja – kyberturvallisuusyritys Mandiantin mukaan keskimäärin 393 päivää.

Vaikka F5 ei vahvistanut haittaohjelman tai uhkaryhmän yksityiskohtia, raportit osoittavat, että yritys on tehnyt tiivistä yhteistyötä liittovaltion viranomaisten ja kyberturvallisuuskumppaneiden kanssa arvioidakseen tietomurron koko laajuuden.

Tapaus laukaisi keskiviikkona kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) hätäohjeen, joka vaatii kaikkia F5-ohjelmistoa käyttäviä liittovaltion virastoja ottamaan käyttöön välittömät tietoturvapäivitykset.

"Hälyttävä helppous, jolla pahantahtoiset toimijat voivat hyödyntää näitä haavoittuvuuksia, vaatii välittömiä ja päättäväisiä toimia kaikilta liittovaltion virastoilta", sanoi CISA:n virkaa tekevä johtaja Madhu Gottumukkala.

"Nämä samat riskit ulottuvat kaikkiin tätä tekniikkaa käyttäviin organisaatioihin, mikä voi johtaa kriittisten tietojärjestelmien katastrofaaliseen vaarantumiseen."

Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) antoi myös tiedotteen, jossa se kehotti F5-asiakkaita korjaamaan järjestelmiä ja ylläpitämään tehostettua valvontaa epäilyttävän toiminnan varalta.

Markkinoiden reaktio ja vaikutus toimialaan

Sijoittajat reagoivat jyrkästi paljastukseen ja lähettivät F5:n osakkeet 12 prosentin laskuun, mikä on suurin yhden päivän pudotus yli kolmeen vuoteen.

Lasku heijastaa laajempia markkinoiden huolia kyberturvallisuusaltistumisesta – jopa verkkosuojaukseen erikoistuneiden yritysten keskuudessa.

Analyytikot huomauttavat, että kyberturvallisuusyritysten tietomurroilla voi olla valtava mainevaikutus, mikä heikentää luottamusta tuotteisiin, jotka on suunniteltu suojaamaan juuri tällaisilta hyökkäyksiltä.

Tapauksen ajoitus kasvavien maailmanlaajuisten kyberjännitteiden ja Kiinan valtion tukemien hakkereiden lisääntyneen valvonnan keskellä voi myös vahvistaa F5:n sääntely- ja kaupallisia seurauksia tulevina kuukausina.

Välittömästä myynnistä huolimatta F5 toisti, että se on hillinnyt tapauksen ja jatkaa puolustuksensa vahvistamista.

Yhtiön tulevien neljännesvuosittaisten ilmoitusten odotetaan antavan lisätietoja tietomurron toiminnallisista ja taloudellisista vaikutuksista.