Ações da F5 despencam após divulgar grande violação ligada a hackers chineses apoiados pelo Estado

A empresa de segurança cibernética norte-americana F5 Inc. viu suas ações caírem mais de 12% na quinta-feira, marcando o declínio mais acentuado em um único dia desde abril de 2022, depois de revelar uma violação de segurança significativa atribuída a um "agente de ameaça de estado-nação altamente sofisticado".

A empresa disse que o invasor obteve acesso de longo prazo a partes de seus sistemas internos, levantando novas preocupações sobre vulnerabilidades em software de infraestrutura crítica.

Violação expõe código-fonte e vulnerabilidades não divulgadas

Em um documento da Securities and Exchange Commission (SEC) na quarta-feira, a F5 divulgou que a violação afetou seu ambiente de desenvolvimento de produtos BIG-IP, uma plataforma central usada para gerenciamento de tráfego de rede e segurança de aplicativos.

De acordo com o processo, o invasor acessou arquivos contendo código-fonte e detalhes sobre vulnerabilidades não divulgadas no produto BIG-IP.

A F5 disse que foi informada pela primeira vez da invasão em agosto e imediatamente iniciou uma investigação interna.

A empresa enfatizou que não encontrou evidências de atividades não autorizadas em andamento ou qualquer exploração de vulnerabilidades não divulgadas anteriormente.

"Não temos conhecimento de vulnerabilidades críticas ou remotas de código não divulgadas e não temos conhecimento da exploração ativa de quaisquer vulnerabilidades F5 não divulgadas", disse a empresa em comunicado.

No entanto, fontes citadas pela Bloomberg atribuíram o ataque a hackers apoiados pelo Estado da China, que supostamente se infiltraram nos sistemas da empresa por pelo menos 12 meses.

Os invasores implantaram uma ferramenta de malware conhecida como Brickstorm, que os especialistas em segurança cibernética descrevem como capaz de manter o acesso furtivo e de longo prazo.

Atribuição de malware e ameaças

O malware, Brickstorm, foi vinculado a um grupo suspeito de ameaça China-Nexus conhecido como UNC5221, de acordo com uma pesquisa do Grupo de Inteligência de Ameaças do Google.

O malware permite que os invasores permaneçam indetectáveis nos sistemas por longos períodos – uma média de 393 dias, de acordo com a empresa de segurança cibernética Mandiant.

Embora a F5 não tenha confirmado detalhes do malware ou do grupo de ameaças, os relatórios indicam que a empresa tem trabalhado em estreita colaboração com autoridades federais e parceiros de segurança cibernética para avaliar o escopo total da violação.

O incidente desencadeou uma diretiva de emergência da Agência de Segurança Cibernética e Infraestrutura (CISA) na quarta-feira, exigindo que todas as agências federais que usam o software F5 apliquem atualizações de segurança imediatas.

"A facilidade alarmante com que essas vulnerabilidades podem ser exploradas por agentes mal-intencionados exige ação imediata e decisiva de todas as agências federais", disse o diretor interino da CISA, Madhu Gottumukkala.

"Esses mesmos riscos se estendem a qualquer organização que use essa tecnologia, potencialmente levando a um comprometimento catastrófico de sistemas de informação críticos."

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) também emitiu um aviso pedindo aos clientes da F5 que corrijam os sistemas e mantenham um monitoramento intensificado para atividades suspeitas.

Reação do mercado e impacto na indústria

Os investidores reagiram fortemente à divulgação, fazendo com que as ações da F5 caíssem 12%, sua maior queda em um único dia em mais de três anos.

O declínio reflete preocupações mais amplas do mercado sobre a exposição à segurança cibernética, mesmo entre empresas especializadas em proteção de rede.

Os analistas observam que as violações nas empresas de segurança cibernética podem ter um impacto desproporcional na reputação, minando a confiança em produtos projetados para se defender precisamente contra esses ataques.

O momento do incidente, em meio a crescentes tensões cibernéticas globais e maior escrutínio de hackers apoiados pelo Estado chinês, também pode amplificar as repercussões regulatórias e comerciais para a F5 nos próximos meses.

Apesar da liquidação imediata, a F5 reiterou que conteve o incidente e continua fortalecendo suas defesas.

Espera-se que os próximos registros trimestrais da empresa forneçam mais detalhes sobre as implicações operacionais e financeiras da violação.