Theo Bloomberg, tin tặc có liên hệ với các đơn vị an ninh mạng do nhà nước Trung Quốc hậu thuẫn đã xâm nhập vào mạng nội bộ của F5 vào cuối năm 2023 và ẩn náu cho đến tháng 8 năm nay. Công ty an ninh mạng có trụ sở tại Seattle này thừa nhận trong hồ sơ rằng hệ thống của họ đã bị xâm nhập trong gần hai năm, cho phép kẻ tấn công "truy cập lâu dài và liên tục" vào cơ sở hạ tầng nội bộ.
Vụ vi phạm được cho là đã làm lộ mã nguồn, dữ liệu cấu hình nhạy cảm và thông tin về lỗ hổng phần mềm chưa được tiết lộ trong nền tảng BIG-IP, một công nghệ cung cấp năng lượng cho mạng lưới của 85% công ty Fortune 500 và nhiều cơ quan liên bang Hoa Kỳ.
Tin tặc đã đột nhập thông qua phần mềm riêng của F5, vốn đã bị lộ trên mạng sau khi nhân viên không tuân thủ các chính sách bảo mật nội bộ. Kẻ tấn công đã lợi dụng điểm yếu này để xâm nhập và tự do di chuyển bên trong các hệ thống lẽ ra phải được khóa.
Công ty F5 đã nói với khách hàng rằng hành vi giám sát này đã vi phạm trực tiếp các nguyên tắc an ninh mạng mà công ty hướng dẫn khách hàng tuân thủ. Khi tin tức này nổ ra, cổ phiếu của F5 đã giảm hơn 10% vào ngày 16 tháng 10, khiến giá trị thị trường bốc hơi hàng triệu đô la.
Chris Woods, cựu giám đốc an ninh của HP và hiện là người sáng lập CyberQ Group Ltd., một công ty dịch vụ an ninh mạng tại Anh, cho biết: "Vì thông tin về lỗ hổng bảo mật đó đã bị công khai nên mọi người sử dụng F5 nên cho rằng họ đã bị xâm phạm".
Tin tặc đã sử dụng công nghệ riêng của F5 để duy trì tính ẩn danh và kiểm soát
Theo Bloomberg, F5 đã gửi cho khách hàng hướng dẫn săn tìm mối đe dọa đối với loại phần mềm độc hại có tên Brickstorm được tin tặc do nhà nước Trung Quốc hậu thuẫn sử dụng.
Mandiant, được F5 thuê, đã xác nhận rằng Brickstorm cho phép tin tặc di chuyển âm thầm qua các máy ảo VMware và cơ sở hạ tầng sâu hơn. Sau khi chiếm được chỗ đứng, những kẻ xâm nhập đã không hoạt động trong hơn một năm, một chiến thuật cũ nhưng hiệu quả nhằm chờ đợi thời hạn lưu giữ nhật ký bảo mật của công ty.
Nhật ký, ghi lại mọi dấu vết kỹ thuật số, thường bị xóa sau 12 tháng để tiết kiệm chi phí. Sau khi những nhật ký đó biến mất, tin tặc sẽ kích hoạt lại và lấy dữ liệu từ BIG-IP, bao gồm mã nguồn và báo cáo lỗ hổng.
F5 cho biết mặc dù một số dữ liệu khách hàng đã bị truy cập, nhưng họ không có bằng chứng thực sự nào cho thấy tin tặc đã thay đổi mã nguồn hoặc sử dụng thông tin bị đánh cắp để khai thác khách hàng.
Nền tảng BIG-IP của F5 xử lý cân bằng tải và bảo mật mạng, định tuyến lưu lượng kỹ thuật số và bảo vệ hệ thống khỏi sự xâm nhập.
Chính phủ Hoa Kỳ và Anh ban hành cảnh báo khẩn cấp
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) gọi sự cố này là "mối đe dọa mạng đáng kể nhắm vào các mạng lưới liên bang". Trong chỉ thị khẩn cấp được ban hành vào thứ Tư, CISA đã yêu cầu tất cả các cơ quan liên bang xác định và cập nhật các sản phẩm F5 của họ trước ngày 22 tháng 10.
Trung tâm An ninh mạng quốc gia của Anh cũng đã đưa ra cảnh báo về vụ vi phạm vào thứ Tư, cảnh báo rằng tin tặc có thể sử dụng quyền truy cập vào hệ thống F5 để khai thác công nghệ của công ty và xác định thêm các lỗ hổng bảo mật.
Sau khi tiết lộ, CEO của F5, Francois Locoh-Donou, đã tổ chức họp báo với khách hàng để giải thích về phạm vi vi phạm. Ông Francois xác nhận rằng công ty đã gọi CrowdStrike và Mandiant của Google để hỗ trợ cùng với các cơ quan thực thi pháp luật và các nhà điều tra chính phủ.
Các quan chức nắm rõ cuộc điều tra được cho là đã nói với Bloomberg rằng chính phủ Trung Quốc đứng sau vụ tấn công. Tuy nhiên, một phát ngôn viên của Trung Quốc đã bác bỏ cáo buộc này là "vô căn cứ và không có bằng chứng".
Ilia Rabinovich, phó chủ tịch tư vấn an ninh mạng của Sygnia, cho biết trong vụ việc Sygnia tiết lộ năm ngoái, tin tặc đã ẩn náu bên trong các thiết bị của F5 và sử dụng chúng làm căn cứ "ra lệnh và điều khiển" để xâm nhập vào mạng lưới của nạn nhân mà không bị phát hiện. "Có khả năng nó sẽ phát triển thành một thứ gì đó quy mô lớn, bởi vì rất nhiều tổ chức triển khai những thiết bị đó", ông nói.
