Atacul cibernetic asupra companiei F5 expune o breşă de securitate exploatată de hackeri legaţi de China
În urma breşei masive de securitate F5, Resecurity, o companie de securitate cibernetică, avertizează că hackerii din China vizează în mod activ organizaţiile care utilizează sisteme F5 BIG-IP, scrie Cybernews.
Aceste sisteme sunt utilizate de întreprinderi mari şi cloud-uri pentru sisteme de load balancing, livrarea de aplicaţii şi securitate, iar peste 250.000 dintre ele sunt expuse pe internet.
Atacatorii au rămas în sistemele F5 timp de cel puţin 12 luni, utilizând o breşă autonomă şi ascunsă, similară cu familia Brickstorm.
Resecurity a publicat recent o analiză a backdoor-ului Brickstorm şi detalii suplimentare despre implicarea actorilor de ameninţare din China.
O breşă este un malware pe care hackerii îl lasă pe dispozitiv după compromiterea iniţială pentru a menţine accesul persistent. Pentru a compromite dispozitivul, atacatorii exploatează de obicei vulnerabilităţi cunoscute sau zero-day.
Deşi F5 nu are cunoştinţă de existenţa unor defecte nedivulgate care ar fi putut fi exploatate, codul sursă furat „creşte riscul descoperirii rapide a vulnerabilităţilor zero-day şi al utilizării acestora împotriva serviciilor de gestionare expuse pe internet”, avertizează Resecurity.
„Dacă un atacator obţine execuţia codului (prin servicii zero-day sau slab securizate), Brickstorm poate transforma un BIG-IP într-un punct de ieşire ascuns şi un proxy intern, cu jurnale minime şi durată lungă de staţionare.”
Breşa de securitate Brickstorm este legată de grupul China-nexus UNC5221, care utilizează capacităţi sofisticate şi exploatează defecte zero-day care vizează dispozitivele de reţea.
Resecurity a colectat „mai multe artefacte” din tehnicile axate pe dispozitive ale actorului ameninţării, care includ backdoor-ul Go ELF (executabil compilat pentru Linux) în sine, mici scripturi de implementare şi o componentă utilizată pentru colectarea credenţialelor.
„Backdoor-ul este un executabil autonom, fără dependenţe, ambalat pentru dispozitive cu spaţiu de utilizare limitat”, a declarat Resecurity în raport.
Pentru a ataca F5, actorul, după ce a obţinut execuţia codului, a configurat breşa pentru a stabili o conexiune TLS criptată de ieşire „care negociază HTTP/2 şi actualizează conexiunea la WebSocket pentru un tunel C2 persistent”.
Au folosit această conexiune pentru a transporta mai multe sesiuni separate simultan, pentru a livra parametrii de comandă şi control (C2) şi pentru a gestiona implantul.
Cercetătorii au descoperit, de asemenea, că atacatorii au folosit depozite disponibile public, că porţiuni din cod proveneau din China şi că acesta a fost conceput în mod răuvoitor pentru atacuri cibernetice.
Echipa Mandiant a Google a raportat anterior că atacatorii utilizează Brickstorm din martie 2025 într-o serie de sectoare industriale, inclusiv servicii juridice, furnizori de software ca serviciu (SaaS), furnizori de servicii de externalizare a proceselor de afaceri (BPO) şi tehnologie. Echipa a furnizat un script de scanare pentru a căuta modele unice pentru breşă.
