Akcje F5 spadają po ujawnieniu poważnego naruszenia związanego ze wspieranymi przez państwo chińskimi hakerami

Amerykańska firma F5 Inc., zajmująca się cyberbezpieczeństwem, odnotowała w czwartek spadek o ponad 12%, co oznacza największy jednodniowy spadek od kwietnia 2022 r., po ujawnieniu poważnego naruszenia bezpieczeństwa przypisywanego "wysoce wyrafinowanemu aktorowi zagrożeń z państw narodowych".

Firma poinformowała, że atakujący uzyskał długoterminowy dostęp do części jej wewnętrznych systemów, co budzi nowe obawy dotyczące luk w oprogramowaniu infrastruktury krytycznej.

Naruszenie ujawnia kod źródłowy i nieujawnione luki w zabezpieczeniach

W zgłoszeniu Komisji Papierów Wartościowych i Giełd (SEC) pod koniec środy, F5 ujawniło, że naruszenie wpłynęło na środowisko rozwoju produktów BIG-IP, podstawową platformę używaną do zarządzania ruchem sieciowym i bezpieczeństwa aplikacji.

Zgodnie ze zgłoszeniem, atakujący uzyskał dostęp do plików zawierających kod źródłowy i szczegóły dotyczące nieujawnionych luk w zabezpieczeniach produktu BIG-IP.

F5 poinformowało, że po raz pierwszy dowiedziało się o włamaniu w sierpniu i natychmiast wszczęło wewnętrzne dochodzenie.

Firma podkreśliła, że nie znalazła dowodów na trwającą nieautoryzowaną działalność lub jakiekolwiek wykorzystanie wcześniej nieujawnionych luk w zabezpieczeniach.

"Nie mamy wiedzy na temat nieujawnionych krytycznych lub zdalnych luk w kodzie i nie jesteśmy świadomi aktywnego wykorzystywania jakichkolwiek nieujawnionych luk w zabezpieczeniach F5" – powiedziała firma w oświadczeniu.

Jednak źródła, na które powołuje się Bloomberg, przypisały później atak wspieranym przez państwo hakerom z Chin, którzy podobno infiltrowali systemy firmy przez co najmniej 12 miesięcy.

Atakujący wdrożyli narzędzie złośliwego oprogramowania znane jako Brickstorm, które eksperci ds. cyberbezpieczeństwa opisują jako zdolne do utrzymywania długoterminowego, potajemnego dostępu.

Przypisywanie złośliwego oprogramowania i zagrożeń

Złośliwe oprogramowanie, Brickstorm, zostało powiązane z podejrzaną grupą zagrożeń typu China-Nexus, znaną jako UNC5221, zgodnie z badaniami przeprowadzonymi przez Google Threat Intelligence Group.

Złośliwe oprogramowanie pozwala intruzom pozostać niewykrytym w systemach przez dłuższy czas — średnio 393 dni, według firmy Mandiant zajmującej się cyberbezpieczeństwem.

Chociaż F5 nie potwierdziło szczegółów złośliwego oprogramowania ani grupy zagrożeń, raporty wskazują, że firma ściśle współpracuje z władzami federalnymi i partnerami w zakresie cyberbezpieczeństwa w celu oceny pełnego zakresu naruszenia.

Incydent wywołał w środę nadzwyczajną dyrektywę Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), wymagającą od wszystkich agencji federalnych korzystających z oprogramowania F5 natychmiastowego zastosowania aktualizacji zabezpieczeń.

"Alarmująca łatwość, z jaką te luki mogą zostać wykorzystane przez złośliwych aktorów, wymaga natychmiastowych i zdecydowanych działań ze strony wszystkich agencji federalnych" – powiedział p.o. dyrektora CISA, Madhu Gottumukkala.

"Te same zagrożenia dotyczą każdej organizacji korzystającej z tej technologii, potencjalnie prowadząc do katastrofalnego naruszenia krytycznych systemów informatycznych".

Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) również wydało zalecenie, w którym zachęca klientów F5 do łatania systemów i utrzymywania wzmożonego monitorowania pod kątem podejrzanej aktywności.

Reakcja rynku i wpływ na branżę

Inwestorzy ostro zareagowali na ujawnienie, wysyłając akcje F5 w dół o 12%, co jest największym jednodniowym spadkiem od ponad trzech lat.

Spadek ten odzwierciedla szersze obawy rynku dotyczące narażenia na cyberbezpieczeństwo – nawet wśród firm specjalizujących się w ochronie sieci.

Analitycy zauważają, że naruszenia w firmach zajmujących się cyberbezpieczeństwem mogą mieć ogromny wpływ na reputację, podważając zaufanie do produktów zaprojektowanych do obrony przed takimi właśnie atakami.

Czas incydentu, w obliczu rosnących globalnych napięć cybernetycznych i wzmożonej kontroli chińskich hakerów wspieranych przez państwo, może również wzmocnić regulacyjne i handlowe reperkusje dla F5 w nadchodzących miesiącach.

Pomimo natychmiastowej wyprzedaży, F5 powtórzyła, że opanowała incydent i nadal wzmacnia swoją obronę.

Oczekuje się, że nadchodzące kwartalne raporty firmy dostarczą więcej szczegółów na temat operacyjnych i finansowych skutków naruszenia.