W połowie października, amerykańska firma F5 – jeden z globalnych liderów w dostarczaniu rozwiązań dla bezpieczeństwa sieciowego ujawnił, że padł ofiarą masowego naruszenia cyberbezpieczeństwa. Incydent ten, wykryty w systemach firmy 9 sierpnia 2025 roku, skutkował kradzieżą kluczowych zasobów, w tym części kodu źródłowego flagowego produktu BIG-IP oraz danych dotyczących nieujawnionych luk w zabezpieczeniach.
Początki ataku
Atakujący nie włamali się na chwilę – utrzymywali obecność w sieci F5 przez co najmniej 12 miesięcy, co wskazuje na zaawansowaną operację szpiegowską. Informacja o naruszeniu została podana do publicznej wiadomości z opóźnieniem, na wniosek Departamentu Sprawiedliwości Stanów Zjednoczonych (DoJ). Skala i charakter ataku natychmiast wywołały ostrzeżenia na najwyższym szczeblu rządowym. Opóźnienie publikacji pozwoliło na dyskretne dochodzenie i minimalizację ryzyka dla klientów.
Kto stoi za atakiem?
Firma F5 przypisała atak „wysoce wyrafinowanemu aktorowi zagrożenia sponsorowanemu przez państwo narodowe”. Podkreślono, że adwersarz utrzymywał długoterminowy, trwały dostęp do sieci F5.
Szczegółowe raporty wskazują na głębokie zaangażowanie aktorów państwowych:
- Czas rezydencji: Stwierdzono, że hakerzy przebywali w sieci przez co najmniej 12 miesięcy, co jest zgodne z profilem operacyjnym, w którym chińscy cyberszpiedzy ukrywali się w sieciach ofiar średnio przez niemal 400 dni.
- Wskazanie na Chiny: Chociaż F5 oficjalnie nie wskazało sprawców, profil ataku oraz doniesienia Bloomberga sugerują, że Chiny są potencjalnym aktorem zagrożenia. Chińscy hakerzy są znani z tego, że celują w urządzenia BIG-IP.
- Złośliwe oprogramowanie: Atak wiązał się z użyciem złośliwego oprogramowania nazwanego BRICKSTORM, które jest charakterystyczne dla chińskich operacji cybernetycznych skierowanych przeciwko firmom technologicznym w USA i przypisywane chińskiej grupie śledzonej jako UNC5221 przez Google Threat Intelligence Group i Mandiant.
Chińska ambasada w Waszyngtonie zaprzeczyła tym doniesieniom, podkreślając sprzeciw Pekinu wobec hakerskich aktywności i oskarżając o rozprzestrzenianie fałszywych informacji w celach politycznych. Mimo to, wewnętrzne przekonania F5 i dane z dochodzenia wskazują na chińskie powiązania.
Jakie dane zostały skradzione?
Hakerzy wykradli fragmenty kodu źródłowego platformy BIG-IP, informacje o niepublikowanych dotąd podatnościach oraz dane konfiguracyjne i implementacyjne dla niewielkiej części klientów. To nie jest drobny wyciek. Dostęp do kodu źródłowego pozwala na jego dokładną analizę, identyfikację logicznych błędów oraz rozwój exploitów. Potencjalnie, to może umożliwić ataki na systemy klientów, w tym eskalację przywilejów czy bypass mechanizmów bezpieczeństwa.
Ponadto, z platformy zarządzania wiedzą inżynierską eksfiltrowano pliki zawierające dane konfiguracyjne lub implementacyjne dla niewielkiego odsetka klientów. F5 zapowiedziało, że po dokładnej analizie tych plików bezpośrednio powiadomi poszkodowanych klientów.
Należy jednak podkreślić, że F5 nie znalazło dowodów na dostęp do systemów CRM, finansowych, iHealth czy systemów zarządzania wsparciem klienta ani na naruszenie łańcucha dostaw, w tym modyfikację kodu źródłowego NGINX lub środowisk F5 Distributed Cloud Services czy Silverline.
Potencjalne skutki
Kradzież kodu źródłowego dostawcy technologii brzegowych, której używa niemal każda firma z listy Fortune 500 czy agencje rządowe, stwarza ogromne ryzyko.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) mówi wprost, że stanowi to natychmiastowe zagrożenie dla sieci federalnych używających sprzętu i oprogramowania F5.
Mając dostęp do kodu źródłowego atakujący są w stanie zidentyfikować zero-day’e i wykorzystywać je w realnych atakach. Atakujący mają również dostęp do informacji o podatnościach, dla których F5 przygotowywało poprawki.
Skala potencjalnego narażenia jest ogromna: ponad 600 000 urządzeń F5 BIG-IP na całym świecie pozostaje niezałatanym w Internecie. Tylko w Stanach Zjednoczonych w Internecie dostępnych jest ponad 130 000 takich urządzeń.
Po ataku F5 wzięło się do roboty i opublikowali aż 45 poprawek – w porównaniu do 6 w poprzednim kwartale.
Reakcja i zalecenia
F5 szybko zareagowało na wykrycie: zaangażowało firmy Mandiant i CrowdStrike do dochodzenia i zabezpieczenia systemów. Przeprowadzono rotację certyfikatów podpisywania i kluczy, wzmocniono kontrole dostępu, wdrożono zaawansowane narzędzia monitoringu oraz ulepszono architekturę sieciową. Dodatkowo, zewnętrzni eksperci z NCC Group i IOActive przeprowadzili przegląd kodu źródłowego – zaangażowano 76 osób na ponad 550 roboczodni.
Mimo że F5 twierdzi, iż nie widzi dowodów na to, by skradzione luki zostały już wykorzystane w atakach na klientów, eksperci podkreślają, że nie można wykluczyć tej możliwości w przyszłości.
Każda organizacja używająca produktów F5 powinna natychmiast podjąć co najmniej następujące kroki:
- Wdrożyć najnowsze aktualizacje dla wszystkich dotkniętych produktów
- Sprawdzić i utwardzić konfiguracje, upewniając się, że interfejsy do zarządzania urządzeniami nie są dostępne z Internetu publicznego.
- Odłączyć urządzenia, które osiągnęły już koniec wsparcia (end-of-life).
