Chinese staatshackers infiltreerden eind 2023 de systemen van cybersecuritybedrijf F5 en wisten tot augustus dit jaar onopgemerkt te blijven. De aanvallers gebruikten een opmerkelijke tactiek: maandenlang stilzitten om forensische logs te laten verlopen.
Dat stelt Bloomberg op basis van bronnen. Het geduldig wachten om forensische data te laten verlopen toont de professionaliteit van de groep. De hack bij F5 begon eind 2023 toen aanvallers een kwetsbaarheid in de BIG-IP-software wisten te exploiteren. Volgens bronnen die op de hoogte zijn van het incident, faalde het personeel van F5 in het volgen van de cybersecurityrichtlijnen die het bedrijf aan klanten verstrekt.
De aanvallers kregen zo toegang tot kritieke systemen en installeerden vervolgens Brickstorm-malware. Deze malware staat bekend om het behouden van “langdurige, heimelijke toegang” tot technologieaanbieders.
Geduldig wachten om sporen te wissen
Na het verkrijgen van toegang tot F5’s VMware-omgeving, kozen de hackers voor een opmerkelijke strategie. Ze gingen vrijwel volledig stil voor meer dan een jaar. Deze tactiek stelt aanvallers in staat om de forensische data te laten vervallen die organisaties gebruiken om cyberaanvallen te reconstrueren.
Cybersecurity-logs bieden forensische data over hoe hackers organisaties binnendringen. Veel bedrijven bewaren deze dure logs echter slechts ongeveer een jaar. Door te wachten kunnen aanvallers hun sporen effectief uitwissen.
Brede aanval op ontwikkelsystemen
Tijdens hun aanwezigheid in de systemen wisten de aanvallers toegang te krijgen tot gevoelige informatie van een “klein percentage” klanten. F5 ontdekte de inbraak uiteindelijk in augustus van dit jaar en schakelde direct CrowdStrike en Google’s Mandiant in voor het onderzoek.
CEO Francois Locoh-Donou heeft klanten ingelicht over het incident. Er werken ook rechtshandhaving en overheidsinstanties mee aan het onderzoek.
Volgens F5 is er geen bewijs dat de broncode is gewijzigd of dat onbekende kwetsbaarheden actief zijn misbruikt. Wel bracht het bedrijf beveiligingsupdates uit voor 44 kwetsbaarheden na het incident.