Siber güvenlik şirketi F5’e bir yılı aşkın süredir yapılan ve geçen hafta duyurulan ve Çinli casusların suçlandığı bir dijital saldırı, sektördeki savunucuların, ürünlerini kullanan birçok kurumsal ağ arasında uzlaşma işaretleri aramasına neden oldu.
Birçoğu daha fazla açıklamanın geleceğinden endişe ediyor.
Şimdiye kadar, F5’in kaynak kodunun ve yazılımdaki güvenlik açıklarına ilişkin hassas bilgilerin çalındığı yönündeki açıklamalarının ötesinde, hacklemenin kapsamı hakkında çok az şey biliniyor.
Şirketin web sitesi, Fortune 500 listesinde yer alan beş şirketten dördünden fazlasına belirli kapasitelerde hizmet verdiğini belirtiyor ve ABD’li yetkililer, saldırının ardından hedef alınanlar arasında federal ağların da olduğunu söyleyerek acil eylem çağrısında bulundu.
Bu geniş mevcudiyet tek başına yaygın huzursuzluğu tetikledi.
F5’in hisseleri, daha önce hassas olan ürünler için bir dizi düzeltme yayınladığı perşembe günü yüzde 12 düştü, ancak hafta sonuna doğru hafif bir toparlanma yaşadı.
Birkaç siber güvenlik yöneticisi ve analisti, F5’teki hacklemeyi Aralık 2020’de SolarWinds yazılım şirketine yapılan olağanüstü saldırıyla karşılaştırdı.
Orion yazılımı ağ izleme için kullanılan bu şirket, kaynak kodu tahrif edildikten sonra farkında olmadan çok sayıda hassas ağın sıçrama tahtası haline geldi.
Geniş kapsamlı casusluk operasyonunda sonunda yaklaşık bir düzine hükümet departmanının güvenliği ihlal edildi.
Hacklenmeden önce tüketici pazarında çok az bilinen SolarWinds gibi, F5 de kuruluşların internet trafiğini yönlendirme, yönetme ve filtrelemede genellikle düşük profilli ancak kritik roller oynayan yük dengeleyiciler, içerik dağıtım ağları ve güvenlik duvarları gibi bir dizi teknoloji ekipmanına ve hizmete sahip.
Palo Alto Networks’ün tehdit istihbaratı odaklı Birim 42’nin baş teknoloji sorumlusu Michael Sikorski, “Bunu SolarWinds saldırısıyla eşitlemiyorum, ancak insanların bunu hiç duymadığı, ancak herkesin ağında olduğu gerçeğiyle eşitliyorum” dedi.
“Fortune 500’ün yüzde 80’inden bahsederken bankalardan, hukuk firmalarından, teknoloji şirketlerinden bahsediyoruz, adını siz koyun.”
Sikorski, F5 korsanlarının kaynak kodunu ve açıklanmayan güvenlik açığı bilgilerini çaldığını ve potansiyel olarak onlara dar bir zaman diliminde siber casusluk için araçlar geliştirme yeteneği kazandırdığını söyledi.
Tenable’ın güvenlik şefi Bob Huber, F5’te neler olup bittiğini anlamaya çalışırken kendisinin de aklında SolarWinds olduğunu söyledi.
“Şu an itibariyle bu SolarWinds değil” dedi ReutersF5’in “yazılım tedarik zincirimizde değişiklik yapıldığına dair hiçbir kanıt bulunmadığını” söylediğini belirtti.
Yine de Huber, ihlalle ilgili bilgilerin azlığı ve hükümetin 15 Ekim’deki bir acil durum direktifi ve adı açıklanmayan federal ağların bir “ulus devlet siber tehdit aktörü” tarafından hedef alındığına dair kamuya açık bir uyarı yoluyla bunu düzeltmek için harekete geçme aciliyeti göz önüne alındığında, daha fazla hoş karşılanmayan açıklamaların geleceğine dair işaretler olduğunu söyledi.
“Diğer ayakkabının da düşmesini bekliyoruz” dedi.
F5 ihlalinin başka kurbanları kamuya açıklanmazken, internet tarama ve saldırı faaliyetlerini izleyen Greynoise Intelligence, yaklaşık bir ay öncesinden itibaren bilinmeyen bir aktörün internette F5 cihazlarını aradığına dair ipuçları buldu.
Şirketin güvenlik araştırmaları ve tespit mühendisliğinden sorumlu kıdemli direktörü Glenn Thorpe’a göre Greynoise, Eylül ortasından itibaren F5’e odaklanan tarama faaliyetlerinde büyük bir artış tespit etti.
Thorpe, “Bu, bir yerlerde birisinin bir şeyler bildiği anlamına geliyor” dedi.