F5-aksjer stuper etter å ha avslørt stort brudd knyttet til statsstøttede kinesiske hackere

Det amerikanske cybersikkerhetsfirmaet F5 Inc. så aksjene falle mer enn 12 % torsdag, og markerte den bratteste nedgangen på én dag siden april 2022, etter å ha avslørt et betydelig sikkerhetsbrudd tilskrevet en "svært sofistikert nasjonalstatlig trusselaktør."

Selskapet sa at angriperen fikk langsiktig tilgang til deler av sine interne systemer, noe som reiste nye bekymringer om sårbarheter i kritisk infrastrukturprogramvare.

Innbrudd avslører kildekode og ukjente sårbarheter

I en Securities and Exchange Commission (SEC)-innlevering sent onsdag avslørte F5 at bruddet påvirket BIG-IP-produktutviklingsmiljøet, en kjerneplattform som brukes til nettverkstrafikkstyring og applikasjonssikkerhet.

Ifølge innleveringen fikk angriperen tilgang til filer som inneholder kildekode og detaljer om uavslørte sårbarheter i BIG-IP-produktet.

F5 sa at de først ble gjort oppmerksomme på inntrengningen i august og satte umiddelbart i gang en intern etterforskning.

Selskapet understreket at det ikke har funnet bevis for pågående uautorisert aktivitet eller utnyttelse av tidligere uavslørte sårbarheter.

"Vi har ingen kunnskap om uavslørte kritiske eller eksterne kodesårbarheter, og vi er ikke klar over aktiv utnyttelse av noen uavslørte F5-sårbarheter," sa selskapet i en uttalelse.

Kilder sitert av Bloomberg tilskrev imidlertid senere angrepet til statsstøttede hackere fra Kina, som angivelig infiltrerte selskapets systemer i minst 12 måneder.

Angriperne distribuerte et skadelig programvare kjent som Brickstorm, som cybersikkerhetseksperter beskriver som i stand til å opprettholde langsiktig, snikende tilgang.

Attribusjon av skadelig programvare og trusler

Skadevaren, Brickstorm, har blitt knyttet til en mistenkt Kina-nexus-trusselgruppe kjent som UNC5221, ifølge forskning fra Googles Threat Intelligence Group.

Skadevaren lar inntrengere forbli uoppdaget i systemer i lengre perioder – i gjennomsnitt 393 dager, ifølge cybersikkerhetsfirmaet Mandiant.

Selv om F5 ikke bekreftet detaljer om skadelig programvare eller trusselgruppen, indikerer rapporter at selskapet har jobbet tett med føderale myndigheter og cybersikkerhetspartnere for å vurdere hele omfanget av bruddet.

Hendelsen utløste et nøddirektiv fra Cybersecurity and Infrastructure Security Agency (CISA) på onsdag, som krever at alle føderale byråer som bruker F5-programvare bruker umiddelbare sikkerhetsoppdateringer.

"Den alarmerende lettheten som disse sårbarhetene kan utnyttes med av ondsinnede aktører krever umiddelbar og avgjørende handling fra alle føderale byråer," sa CISAs fungerende direktør Madhu Gottumukkala.

"De samme risikoene strekker seg til enhver organisasjon som bruker denne teknologien, og kan potensielt føre til en katastrofal kompromittering av kritiske informasjonssystemer."

Storbritannias National Cyber Security Centre (NCSC) utstedte også en veiledning som oppfordret F5-kunder til å lappe systemer og opprettholde økt overvåking for mistenkelig aktivitet.

Markedsreaksjon og bransjepåvirkning

Investorer reagerte skarpt på avsløringen, og sendte F5-aksjen ned 12 %, deres største fall på en dag på mer enn tre år.

Nedgangen gjenspeiler bredere markedsbekymringer om cybersikkerhetseksponering – selv blant selskaper som spesialiserer seg på nettverksbeskyttelse.

Analytikere bemerker at brudd hos cybersikkerhetsfirmaer kan ha en stor omdømmeinnvirkning, og undergrave tilliten til produkter designet for å forsvare seg mot nettopp slike angrep.

Tidspunktet for hendelsen, midt i økende globale cyberspenninger og økt gransking av kinesiske statsstøttede hackere, kan også forsterke regulatoriske og kommersielle konsekvenser for F5 i månedene som kommer.

Til tross for det umiddelbare salget, gjentok F5 at de har begrenset hendelsen og fortsetter å styrke forsvaret.

Selskapets kommende kvartalsvise innleveringer forventes å gi flere detaljer om de operasjonelle og økonomiske implikasjonene av bruddet.