Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Hükümetin Kapatılmasının Durduğu Bir Dönemde F5 Hacking’e İlişkin Endişeler Büyüyor
Chris Riotta (@chrisriotta) •
17 Ekim 2025
Federal yetkililer, devam eden hükümetin kapanmasının yarattığı personel baskıları nedeniyle ağ cihazlarından ve yazılım üreticisi F5’ten çalınan kaynak kodlarından yararlanan ulus devlet korsanlarını kontrol altına almak için çabalıyor.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
F5, Cuma günkü güncellemede ulus devlet saldırganının dahili geliştirme ve mühendislik sistemlerine uzun vadeli erişimini sürdürdüğünü ve sonuçta şirketin amiral gemisi BIG-IP ürünlerine bağlı kaynak kodunu ve dahili güvenlik açığı araştırmasını çaldığını doğruladı. Şirket, saldırıyı ilk olarak ağustos ayında tespit ettiğini ve o tarihten bu yana, daha fazla izinsiz faaliyeti önlediği anlaşılan kapsamlı sınırlama çalışmaları başlattığını söyledi.
ABD’li yetkililer, bilgisayar korsanlığını bir ulus devletle ilişkilendirdi ve bunun federal ağlar için “yakın bir risk” oluşturduğu konusunda uyardı; tıpkı hükümetin uzun süreli kapatılmasının Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın işgücünün %65’ini devre dışı bırakması gibi (bkz: Kapatma ve Artan Siyasi Tehditlerin Ortasında CISA Karmaşa İçinde).
Hackleme kampanyasını tartışmak için isminin gizli kalmasını talep eden eski bir üst düzey federal siber güvenlik yetkilisi, “Federal ekosistemde yamalanması gereken çok sayıda cihaz, şu anda elimizde olandan çok daha fazla uzmana ihtiyaç duyuyor” dedi. “Bu, hükümetin açık tutulması gereğini tartışırken insanların uyardığı türden bir kaos.”
Çalınan dosyaların F5’in araştırdığı açıklanmayan güvenlik açıkları hakkında bilgiler içerdiği bildiriliyor, ancak şirket bu kusurların aktif olarak kullanıldığına veya herhangi bir kritik uzaktan kod yürütme hatasının açığa çıktığına dair mevcut bir kanıt olmadığını vurguladı.
Yeni araştırmalar, siber güvenlik firması Censys’in perşembe günü yayınladığı bir tavsiyeye göre, çoğu ABD hükümetine ve kritik altyapı ağlarına bağlı olan 680.000’den fazla F5 BIG‑IP cihazının çevrimiçi görünür olmasıyla, maruz kalma ölçeğinin başlangıçta korkulandan daha büyük olabileceğini gösteriyor. Analistler artık F5’in hacklenmesini Mandiant tarafından UNC5221 olarak takip edilen Çin devleti destekli bir gruba bağlıyor. Grubun F5’in iç sistemlerine bir yıl boyunca sızması, Çin’in en agresif bilgisayar korsanlığı operasyonlarının taktiklerini yansıtıyor.
Güncellemeye göre çalınan verilerin bir kısmı, küçük bir müşteri alt kümesinden sınırlı yapılandırma ayrıntılarını da içerebilir ve şirket, etkilenenlerle doğrudan iletişime geçtiğini söylüyor.
Trellix Tehdit İstihbaratından Sorumlu Başkan Yardımcısı John Fokker, CISA’nın, kurumların 22 Ekim’e kadar etkilenen cihazların güvenliğini sağlamasını veya bağlantılarını kesmesini gerektiren bir acil durum direktifi yayınladığını söyledi. Bu, tehdit aktörlerinin kaynak kodu ve güvenlik açığı istihbaratıyla donatıldığında ne kadar hızlı hareket edebileceğinin altını çizen bir son tarih.
Fokker ISMG’ye “Normal zamanlarda bu bir sprinttir” dedi. “Kapatma kısıtlamaları ve izin baskısı altında tempoyu yamalamak, doğrulamak ve izlemek daha da büyük bir görevdir.”
F5, BIG-IP, F5OS, BIG-IQ ve Kubernetes teklifleri de dahil olmak üzere ürün ekosistemi genelinde yazılım güncellemeleri yayınladı ve müşterilere yamaları hemen yüklemelerini tavsiye ediyor.
F5, yazılım geliştirme altyapısı genelinde izleme ve güvenlik kontrollerini güçlendirdiğini ve devam eden riskleri ortadan kaldırmak için kod incelemelerine ve sızma testlerine devam ettiğini söylüyor. Cuma günü taleplere hemen yanıt vermeyen CISA, daha önce gazetecilere, kapatma sırasında hala mevcut olan sınırlı personel ile olayı yönettiğini söylemişti.
CISA Siber Güvenlikten Sorumlu Direktör Yardımcısı Nick Andersen Çarşamba günü yaptığı açıklamada, “Hükümetin kapatılması federal operasyonları aksatabilirken, temel işlevleri sürdürüyoruz.” dedi.
Uzmanlar, federal müdahalenin kısa vadeli yamaların ötesine geçmesi ve acil risk azaltma, hedefe yönelik diplomasi ve uzun vadeli yasa uygulama soruşturmalarını kapsayan katmanlı bir stratejiyi içermesi gerektiğini söylüyor.
Eski bir savunma yetkilisi, “Bu tür bir ihlal, teknik bir açığı ortaya çıkarıyor, ancak daha da önemlisi, tedarik zincirindeki önemli bir operasyonel kırılganlık noktasını ortaya çıkarıyor” dedi. “Tepki vermeyi bırakmalı ve bu gerçeklik etrafında tasarım yapmaya başlamalıyız.”