חברת F5 מותקפת: "האקרים מטעם מדינה גנבו קוד מקור ומידע רגיש"
בחברה הודו כי התוקפים השיגו גישה למערכות הקשורות לפיתוח פלטפורמת הדגל BIG-IP ומסרו: "אנו נמצאים בקשר הדוק עם רשויות אכיפת החוק ועם שותפינו הממשלתיים"
תמונה: dreamstime
חברת F5, המספקת פתרונות לאבטחת יישומים וניהול תעבורת רשת, הודיעה אמש (ד') כי נפלה קורבן למתקפת סייבר מתוחכמת, שלטענתה בוצעה על ידי האקרים שנשלחו מטעם מדינה. על פי הודעת החברה, התוקפים הצליחו לגנוב מידע רגיש ממערכותיה לאחר שהשיגו גישה ממושכת למספר מערכות פנימיות, בהן גם מערכות הקשורות לפיתוח פלטפורמת הדגל שלה – BIG-IP.
הפריצה ל-F5 פורסמה רק אתמול, זאת בעקבות דיווח שהגישה החברה לרשות לניירות ערך בארצות הברית (SEC) ובו נכתב כי תוקפים הצליחו לשאוב קבצים מסוימים, בהם קבצים שהכילו חלקים מקוד המקור של BIG-IP ומידע על פרצות שטרם פורסמו. עם זאת, בחברה מדגישים כי לא ידוע להם על פרצות לא פומביות קריטיות או שמאפשרות הרצת קוד מרחוק (RCE), וכי אין כל אינדיקציה לניצול פעיל של חולשות שלא נחשפו. עם פרסומה של הפריצה, בסיום המסחר אתמול מניית החברה רשמה ירידה של 3.62. נזכיר כי שווי החברה הוא כ-20 מיליארד דולרים.
זוהתה באוגוסט – פורסמה רק באוקטובר
בהודעה הרשמית שפרסמה החברה נמסר כי היא "נוקטת צעדים נרחבים כדי לבלום את פעילות התוקף. מאז תחילת פעולות אלו לא זוהתה פעילות לא מורשית נוספת, אנו מאמינים כי מאמצי ההכלה שלנו היו מוצלחים".בנוסף, החברה הודיעה כי "בתגובה לאירוע זה אנו נוקטים צעדים פרואקטיביים לחיזוק ההגנה על לקוחותינו ולשיפור מערך האבטחה של הסביבה הארגונית ושל סביבת הפיתוח שלנו. שיתפנו פעולה עם חברות האבטחה CrowdStrike, Mandiant ומומחים נוספים מהמובילים בעולם, ואנו נמצאים בקשר הדוק עם רשויות אכיפת החוק ועם שותפינו הממשלתיים".
ב-F5 ציינו כי למרות הפריצה לסביבת הפיתוח של BIG-IP, אין עדויות לגישה או שליפה של נתונים ממערכות CRM, מערכות פיננסיות, ניהול קריאות תמיכה או מערכת iHealth. עם זאת, בחברה מדגישים כי יתכן וחלק מהקבצים שהודלפו מפלטפורמת ניהול המידע כללו פרטי תצורה או מידע על יישום הנוגע לחלק מהלקוחות.
ב-F5 הדגישו כי נכון לעת זו, אין עדות לכך שהתוקפים ניגשו או שינו את קוד המקור או את סביבת הפיתוח של NGINX או פגיעה במערכות F5 Distributed Cloud Services או Silverline.
בסיום ההודעה, החברה הביעה התנצלות בפני לקוחותיה: "האמון שלכם חשוב לנו. אנו מבינים שהוא נבנה מדי יום ובמיוחד ברגעים שבהם מתרחשות תקלות. אנו מצרים על האירוע ועל הסיכון האפשרי שהוא יצר עבורכם, ומתחייבים להפיק ממנו לקחים ולשתף את תובנותינו עם הקהילה".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
למרות שהפרצה זוהתה כבר ב-9 באוגוסט, F5 קיבלה אישור ממשרד המשפטים של ארצות הברית לדחות את חשיפת האירוע לציבור. חברות אמריקאיות ציבוריות נדרשות לחשוף כל אירוע סייבר מהותי בתוך ארבעה ימי עסקים, אלא אם ניתן להן אישור לדחייה מטעם משרד המשפטים – כפי שאירע במקרה זה. החברה לא חשפה את זהות התוקפים, אך פרופיל המתקפה – לפי מומחי אבטחה – מצביע על סבירות גבוהה שמדובר בקבוצת תקיפה סינית.
האקרים בחסות הממשל הסיני ידועים בהתמקדות בחברות תוכנה גדולות, במטרה לאתר פרצות אבטחה שטרם פורסמו. כך למשל, בעקבות מתקפות ToolShell האחרונות נגד שרתי SharePoint, פתחה מיקרוסופט בחקירה כדי לבדוק אם קבוצות תקיפה סיניות קיבלו מידע מוקדם על החולשות שנוצלו מתוך תוכנית MAPP (Microsoft Active Protections Program). בנוסף, קבוצות תקיפה סיניות ידועות בכך שתקפו בעבר מערכות BIG-IP של F5 כחלק ממבצעים רחבים יותר.
במקביל להודעת F5, גם הרשויות האמריקאיות והבריטיות מזהירות מהשלכות עומק אפשריות של האירוע. לפי סוכנות הסייבר האמריקאית CISA, עצם הגישה של התוקפים לקוד המקור של החברה "עשויה להעניק להם יתרון משמעותי ולאפשר ניתוחים סטטיים של המערכת לצורך גילוי ליקויים ופרצות Zero-Day, ואף פיתוח מתקפות ייעודיות".
במרכז הסייבר הלאומי של בריטניה (NCSC) הוסיפו כי ניצול מוצלח של הפרצה עלול "לאפשר לתוקף לגשת לפרטי זיהוי חבויים ומפתחות API, לנוע בתוך רשת הארגון, לשלוף מידע רגיש ולהשיג שליטה ממושכת על המערכות". ב-F5 ממשיכים בבדיקות ומבטיחים לעדכן את הלקוחות ואת הציבור ככל שיתגלו ממצאים נוספים.
