블룸버그에 따르면, 중국 국가 지원 사이버 부대와 연계된 해커들이 2023년 말 F5의 내부 네트워크에 침투하여 올해 8월까지 잠복해 있었다고 합니다. 시애틀에 본사를 둔 이 사이버 보안 회사는 제출된 자료를 통해 자사 시스템이 거의 2년 동안 침해되어 공격자들이 내부 인프라에 "장기간, 지속적으로 접근"할 수 있었다고 인정했습니다.
보고에 따르면, 이번 침해로 인해 BIG-IP 플랫폼의 소스 코드, 민감한 구성 데이터, 공개되지 않은 소프트웨어 취약점에 대한 정보가 노출됐습니다. BIG-IP 플랫폼은 포춘 500대 기업의 85%와 많은 미국 연방 기관의 네트워크를 구동하는 기술입니다.
해커들은 직원들이 내부 보안 정책을 따르지 않아 온라인에 노출된 F5의 자체 소프트웨어를 통해 침투했습니다. 공격자들은 이 취약점을 악용하여 잠겨 있어야 할 시스템에 자유롭게 침입하고 돌아다녔습니다.
F5는 고객들에게 해당 감독 조치가 고객에게 준수하도록 교육하는 사이버 보안 지침을 직접적으로 위반했다고 밝혔습니다. 이 소식이 알려지자 10월 16일 F5의 주가는 10% 이상 하락하여 수백만 달러의 시가총액이 증발했습니다.
영국의 사이버 보안 서비스 회사인 CyberQ Group Ltd.의 창립자이자 전 HP 보안 임원인 크리스 우즈는 "취약성 정보가 공개된 이상 F5를 사용하는 모든 사람은 자신이 침해당했다고 생각해야 합니다."라고 말했습니다.
해커들은 F5의 자체 기술을 이용해 은밀함과 통제력을 유지했다.
블룸버그에 따르면, F5는 수요일에 중국 국가 지원 해커들이 사용하는 Brickstorm이라는 유형의 맬웨어에 대한 위협 사냥 가이드를 고객들에게 보냈습니다.
F5에 고용된 맨디언트는 브릭스톰을 통해 해커들이 VMware 가상 머신과 더욱 심층적인 인프라를 은밀하게 침투할 수 있었다는 사실을 확인했습니다. 침입자들은 거점을 확보한 후 1년 넘게 활동을 중단했는데, 이는 회사의 보안 로그 보관 기간보다 더 오래 지속되는 효과를 노린 오래되었지만 효과적인 전략이었습니다.
모든 디지털 흔적을 기록하는 로그는 비용 절감을 위해 12개월 후 삭제되는 경우가 많습니다. 로그가 삭제된 후, 해커들은 BIG-IP에서 소스 코드와 취약점 보고서를 포함한 데이터를 다시 활성화하여 빼냈습니다.
F5는 일부 고객 데이터에 접근했지만 해커가 소스 코드를 변경하거나 도난당한 정보를 이용해 고객을 악용했다는 실질적인 증거는 없다고 밝혔습니다.
F5의 BIG-IP 플랫폼은 부하 분산과 네트워크 보안을 처리하고, 디지털 트래픽을 라우팅하며, 침입으로부터 시스템을 보호합니다.
미국과 영국 정부가 비상 경보를 발령했습니다.
미국 사이버보안 및 인프라 보안국(CISA)은 이 사건을 "연방 네트워크를 표적으로 하는 심각한 사이버 위협"이라고 규정했습니다. CISA는 수요일에 발표한 긴급 지침에서 모든 연방 기관에 10월 22일까지 F5 제품을 파악하고 업데이트하도록 명령했습니다.
영국의 국가 사이버 보안 센터도 수요일에 침해에 대한 경고를 발표하며 해커들이 F5 시스템에 대한 접근 권한을 사용하여 회사의 기술을 악용하고 추가적인 취약점을 파악할 수 있다고 경고했습니다.
정보 공개 이후, F5 CEO 프랑수아 로코-도누는 고객들을 대상으로 브리핑을 통해 침해 범위를 설명했습니다. 프랑수아는 회사가 크라우드스트라이크와 구글 맨디언트에 법 집행 기관 및 정부 조사관들과 협력을 요청했다고 확인했습니다.
수사에 정통한 관계자들은 블룸버그에 중국 정부가 이번 공격의 배후에 있다고 전했습니다. 그러나 중국 대변인은 이러한 주장을 "근거 없고 증거도 없이 제기된 것"이라고 일축했습니다.
시그니아의 사이버 보안 컨설팅 부사장인 일리아 라비노비치는 시그니아가 작년에 공개한 사건에서 해커들이 F5의 기기 내부에 숨어 "명령 및 제어" 기지로 활용하여 감지되지 않은 채 피해자 네트워크에 침투했다고 밝혔습니다. 그는 "수많은 조직이 이러한 기기를 사용하고 있기 때문에 대규모로 발전할 가능성이 있습니다."라고 말했습니다.
