F5 hisseleri, devlet destekli Çinli bilgisayar korsanlarıyla bağlantılı büyük bir ihlalin açıklanmasının ardından düştü

ABD'li siber güvenlik firması F5 Inc., "son derece sofistike bir ulus devlet tehdit aktörüne" atfedilen önemli bir güvenlik ihlalini ortaya çıkardıktan sonra, Perşembe günü hisselerinin %12'den fazla düştüğünü gördü ve bu, Nisan 2022'den bu yana en sert tek günlük düşüşe işaret etti.

Şirket, saldırganın dahili sistemlerinin bazı bölümlerine uzun vadeli erişim sağladığını ve bunun da kritik altyapı yazılımlarındaki güvenlik açıkları hakkında yeni endişelere yol açtığını söyledi.

İhlal, kaynak kodunu ve açıklanmayan güvenlik açıklarını ortaya çıkarır

Çarşamba günü geç saatlerde Menkul Kıymetler ve Borsa Komisyonu'na (SEC) yapılan bir başvuruda F5, ihlalin ağ trafiği yönetimi ve uygulama güvenliği için kullanılan temel bir platform olan BIG-IP ürün geliştirme ortamını etkilediğini açıkladı.

Başvuruya göre saldırgan, BIG-IP ürünündeki açıklanmayan güvenlik açıklarıyla ilgili kaynak kodunu ve ayrıntıları içeren dosyalara erişti.

F5, izinsiz girişten ilk olarak Ağustos ayında haberdar edildiğini ve derhal bir iç soruşturma başlattığını söyledi.

Şirket, devam eden yetkisiz faaliyetlere veya daha önce açıklanmayan güvenlik açıklarından herhangi bir şekilde yararlanıldığına dair kanıt bulamadığını vurguladı.

Şirket yaptığı açıklamada, "Açıklanmayan kritik veya uzak kod güvenlik açıkları hakkında hiçbir bilgimiz yok ve açıklanmayan herhangi bir F5 güvenlik açığından aktif olarak yararlanıldığının farkında değiliz" dedi.

Ancak Bloomberg'in aktardığı kaynaklar daha sonra saldırıyı, şirketin sistemlerine en az 12 ay boyunca sızdığı bildirilen Çin'den gelen devlet destekli bilgisayar korsanlarına bağladı.

Saldırganlar, siber güvenlik uzmanlarının uzun vadeli, gizli erişimi sürdürebildiğini söylediği Brickstorm olarak bilinen bir kötü amaçlı yazılım aracını devreye soktu.

Kötü amaçlı yazılım ve tehdit ilişkilendirme

Google'ın Tehdit İstihbarat Grubu'nun araştırmasına göre, kötü amaçlı yazılım Brickstorm, UNC5221 olarak bilinen şüpheli bir Çin bağlantılı tehdit grubuyla bağlantılı.

Kötü amaçlı yazılım, siber güvenlik firması Mandiant'a göre davetsiz misafirlerin sistemlerde uzun süreler boyunca (ortalama 393 gün) tespit edilmeden kalmasına olanak tanıyor.

F5, kötü amaçlı yazılımın veya tehdit grubunun ayrıntılarını doğrulamasa da raporlar, şirketin ihlalin tüm kapsamını değerlendirmek için federal yetkililer ve siber güvenlik ortaklarıyla yakın işbirliği içinde çalıştığını gösteriyor.

Olay, Çarşamba günü Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) F5 yazılımını kullanan tüm federal kurumların acil güvenlik güncellemelerini uygulamasını gerektiren bir acil durum direktifini tetikledi.

CISA Direktör Vekili Madhu Gottumukkala, "Bu güvenlik açıklarının kötü niyetli aktörler tarafından istismar edilmesinin endişe verici kolaylığı, tüm federal kurumların derhal ve kararlı bir şekilde harekete geçmesini gerektiriyor" dedi.

"Aynı riskler, bu teknolojiyi kullanan herhangi bir kuruluş için de geçerlidir ve potansiyel olarak kritik bilgi sistemlerinin feci bir şekilde tehlikeye atılmasına yol açar."

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) de F5 müşterilerini sistemlere yama yapmaya ve şüpheli faaliyetlere karşı daha fazla izleme yapmaya çağıran bir tavsiye yayınladı.

Piyasa tepkisi ve sektör etkisi

Yatırımcılar açıklamaya sert tepki gösterdi ve F5 hisseleri %12 düşerek üç yıldan uzun bir sürenin en büyük tek günlük düşüşünü yaşadı.

Düşüş, ağ koruması konusunda uzmanlaşmış şirketler arasında bile siber güvenliğe maruz kalma konusundaki daha geniş pazar endişelerini yansıtıyor.

Analistler, siber güvenlik firmalarındaki ihlallerin itibar üzerinde çok büyük bir etkiye sahip olabileceğini ve tam da bu tür saldırılara karşı savunma yapmak üzere tasarlanmış ürünlere olan güveni zedeleyebileceğini belirtiyor.

Artan küresel siber gerilimler ve Çin devlet destekli bilgisayar korsanlarına yönelik artan incelemelerin ortasında olayın zamanlaması, önümüzdeki aylarda F5 için düzenleyici ve ticari yansımaları da artırabilir.

Ani satışlara rağmen F5, olayı kontrol altına aldığını ve savunmasını güçlendirmeye devam ettiğini yineledi.

Şirketin yaklaşan üç aylık başvurularının, ihlalin operasyonel ve finansal sonuçları hakkında daha fazla ayrıntı sağlaması bekleniyor.