F5-aktien faller efter att ha avslöjat ett stort intrång kopplat till statsstödda kinesiska hackare

Det amerikanska cybersäkerhetsföretaget F5 Inc. såg sina aktier falla med mer än 12% på torsdagen, vilket markerade den brantaste nedgången under en enskild dag sedan april 2022, efter att ha avslöjat ett betydande säkerhetsintrång som tillskrivs en "mycket sofistikerad hotaktör från en nationalstat".

Företaget sa att angriparen fick långsiktig tillgång till delar av sina interna system, vilket väckte nya farhågor om sårbarheter i programvara för kritisk infrastruktur.

Intrång exponerar källkod och ej avslöjade sårbarheter

I en anmälan till Securities and Exchange Commission (SEC) sent på onsdagen avslöjade F5 att intrånget påverkade dess BIG-IP-produktutvecklingsmiljö, en kärnplattform som används för hantering av nätverkstrafik och applikationssäkerhet.

Enligt ansökan fick angriparen tillgång till filer som innehöll källkod och detaljer om dolda sårbarheter i BIG-IP-produkten.

F5 sa att de först fick kännedom om intrånget i augusti och omedelbart inledde en intern utredning.

Företaget betonade att det inte har hittat några bevis för pågående obehörig aktivitet eller något utnyttjande av tidigare ej avslöjade sårbarheter.

"Vi har ingen kännedom om icke avslöjade kritiska eller avlägsna kodsårbarheter, och vi är inte medvetna om aktivt utnyttjande av några icke avslöjade F5-sårbarheter", säger företaget i ett uttalande.

Källor som citerades av Bloomberg tillskrev dock senare attacken till statsstödda hackare från Kina, som enligt uppgift infiltrerade företagets system i minst 12 månader.

Angriparna använde ett malware-verktyg som kallas Brickstorm, som cybersäkerhetsexperter beskriver som kapabelt att upprätthålla långsiktig, smygande åtkomst.

Attribution av skadlig kod och hot

Skadlig programvara, Brickstorm, har kopplats till en misstänkt hotgrupp mellan Kina och nexus som kallas UNC5221, enligt forskning från Googles Threat Intelligence Group.

Skadlig programvara gör det möjligt för inkräktare att förbli oupptäckta i system under längre perioder – i genomsnitt 393 dagar, enligt cybersäkerhetsföretaget Mandiant.

Även om F5 inte bekräftade detaljer om skadlig programvara eller hotgruppen, tyder rapporter på att företaget har arbetat nära federala myndigheter och cybersäkerhetspartners för att bedöma den fulla omfattningen av intrånget.

Incidenten utlöste ett nöddirektiv från Cybersecurity and Infrastructure Security Agency (CISA) på onsdagen, som kräver att alla federala myndigheter som använder F5-programvara ska tillämpa omedelbara säkerhetsuppdateringar.

"Den alarmerande lätthet med vilken dessa sårbarheter kan utnyttjas av illvilliga aktörer kräver omedelbara och beslutsamma åtgärder från alla federala myndigheter", säger CISA:s tillförordnade direktör Madhu Gottumukkala.

"Samma risker gäller för alla organisationer som använder den här tekniken, vilket kan leda till en katastrofal kompromettering av kritiska informationssystem."

Storbritanniens National Cyber Security Centre (NCSC) utfärdade också en rekommendation som uppmanade F5-kunder att patcha system och upprätthålla ökad övervakning för misstänkt aktivitet.

Marknadsreaktion och branschpåverkan

Investerare reagerade kraftigt på avslöjandet och fick F5-aktierna att falla med 12%, deras största nedgång på en enskild dag på mer än tre år.

Nedgången återspeglar en bredare oro på marknaden för exponering för cybersäkerhet – även bland företag som specialiserar sig på nätverksskydd.

Analytiker noterar att intrång hos cybersäkerhetsföretag kan ha en stor inverkan på ryktet, vilket undergräver förtroendet för produkter som är utformade för att försvara sig mot just sådana attacker.

Tidpunkten för incidenten, mitt i ökande globala cyberspänningar och ökad granskning av kinesiska statsstödda hackare, kan också förstärka regulatoriska och kommersiella återverkningar för F5 under de kommande månaderna.

Trots den omedelbara försäljningen upprepade F5 att de har begränsat incidenten och fortsätter att stärka sitt försvar.

Företagets kommande kvartalsrapporter förväntas ge mer information om de operativa och finansiella konsekvenserna av intrånget.