F5-aandelen kelderen na het bekendmaken van een grote inbreuk in verband met door de staat gesteunde Chinese hackers

Het Amerikaanse cyberbeveiligingsbedrijf F5 Inc. zag zijn aandelen donderdag met meer dan 12% dalen, de sterkste daling op één dag sinds april 2022, na de onthulling van een aanzienlijke inbreuk op de beveiliging die wordt toegeschreven aan een "zeer geavanceerde dreigingsactor van de natiestaat".

Het bedrijf zei dat de aanvaller langdurig toegang kreeg tot delen van zijn interne systemen, wat nieuwe zorgen baarde over kwetsbaarheden in kritieke infrastructuursoftware.

Inbreuk legt broncode en geheime kwetsbaarheden bloot

In een aanvraag van de Securities and Exchange Commission (SEC) eind woensdag maakte F5 bekend dat de inbreuk gevolgen had voor de BIG-IP-productontwikkelingsomgeving, een kernplatform dat wordt gebruikt voor het beheer van netwerkverkeer en applicatiebeveiliging.

Volgens de aanvraag heeft de aanvaller toegang gekregen tot bestanden met broncode en details over niet-openbaar gemaakte kwetsbaarheden in het BIG-IP-product.

F5 zei dat het in augustus voor het eerst op de hoogte was gebracht van de inbraak en onmiddellijk een intern onderzoek startte.

Het bedrijf benadrukte dat het geen bewijs heeft gevonden van voortdurende ongeoorloofde activiteiten of enige exploitatie van eerder niet bekendgemaakte kwetsbaarheden.

"We hebben geen kennis van niet-openbaar gemaakte kritieke of externe code-kwetsbaarheden en we zijn niet op de hoogte van actieve exploitatie van niet-openbaar gemaakte F5-kwetsbaarheden", zei het bedrijf in een verklaring.

Bronnen die door Bloomberg worden geciteerd, schreven de aanval later echter toe aan door de staat gesteunde hackers uit China, die naar verluidt gedurende ten minste 12 maanden in de systemen van het bedrijf waren geïnfiltreerd.

De aanvallers hebben een malwaretool ingezet die bekend staat als Brickstorm, die volgens cyberbeveiligingsexperts in staat is om langdurige, heimelijke toegang te behouden.

Attributie van malware en bedreigingen

De malware, Brickstorm, is in verband gebracht met een vermoedelijke China-nexus-dreigingsgroep die bekend staat als UNC5221, volgens onderzoek van Google's Threat Intelligence Group.

De malware zorgt ervoor dat indringers gedurende langere perioden onopgemerkt binnen systemen blijven - een gemiddelde van 393 dagen, volgens cyberbeveiligingsbedrijf Mandiant.

Hoewel F5 geen details van de malware of de bedreigingsgroep heeft bevestigd, geven rapporten aan dat het bedrijf nauw heeft samengewerkt met federale autoriteiten en cyberbeveiligingspartners om de volledige omvang van de inbreuk te beoordelen.

Het incident leidde woensdag tot een noodrichtlijn van het Cybersecurity and Infrastructure Security Agency (CISA), waardoor alle federale agentschappen die F5-software gebruiken, onmiddellijk beveiligingsupdates moeten toepassen.

"Het alarmerende gemak waarmee deze kwetsbaarheden kunnen worden uitgebuit door kwaadwillende actoren, vereist onmiddellijke en beslissende actie van alle federale agentschappen", zegt CISA-waarnemend directeur Madhu Gottumukkala.

"Deze zelfde risico's strekken zich uit tot elke organisatie die deze technologie gebruikt, wat mogelijk kan leiden tot een catastrofale compromittering van kritieke informatiesystemen."

Het Britse National Cyber Security Centre (NCSC) heeft ook een advies uitgebracht waarin F5-klanten worden aangespoord om systemen te patchen en verscherpt toezicht te houden op verdachte activiteiten.

Marktreactie en impact op de sector

Beleggers reageerden scherp op de onthulling en stuurden de F5-aandelen met 12% omlaag, de grootste daling op één dag in meer dan drie jaar.

De daling weerspiegelt de bredere bezorgdheid van de markt over de blootstelling aan cyberbeveiliging, zelfs bij bedrijven die gespecialiseerd zijn in netwerkbeveiliging.

Analisten merken op dat inbreuken bij cyberbeveiligingsbedrijven een buitensporige impact op de reputatie kunnen hebben, waardoor het vertrouwen in producten die zijn ontworpen om zich juist tegen dergelijke aanvallen te verdedigen, wordt ondermijnd.

De timing van het incident, te midden van toenemende wereldwijde cyberspanningen en toegenomen toezicht op door de Chinese staat gesteunde hackers, zou de komende maanden ook de regelgevende en commerciële gevolgen voor F5 kunnen versterken.

Ondanks de onmiddellijke uitverkoop herhaalde F5 dat het het incident onder controle heeft en zijn verdediging blijft versterken.

De komende kwartaalverslagen van het bedrijf zullen naar verwachting meer details bevatten over de operationele en financiële implicaties van de inbreuk.