F5, bilgisayar korsanlarının dahili sistemlerine erişmesine ve değerli teknik verileri çalmasına olanak tanıyan, devlet destekli bir siber saldırının kurbanı olduğunu doğruladı. Şirket, saldırganların Ağustos 2025’te tespit edilmeden önce uzun vadeli erişim elde ettiğini söylüyor.
F5’in resmi açıklamasına göre olay, BIG-IP kaynak kodunun bazı kısımlarını, dahili güvenlik açığı araştırmasını ve az sayıda müşteriye yönelik yapılandırma ayrıntılarını içeren dosyaların çalınmasına yol açtı. Şirket, yazılım geliştirme sistemleri veya güncelleme mekanizmalarının tahrif edildiğine dair hiçbir kanıt bulamadığını ve normal operasyonların etkilenmediğini söyledi.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) daha sonra olayın F5’in iç ağının bazı kısımlarını tehlikeye attığını ve ulus devlet operasyonlarıyla tutarlı gelişmiş, kalıcı teknikler içerdiğini doğruladı. F5’in BIG-IP’sini ve ilgili ürünleri kullanan devlet kurumları ve kurumsal müşterilerin tüm yeni yamaları uygulamaları ve erişim kontrollerini gözden geçirmeleri istendi.
Müfettişler, saldırganların F5 ürünlerinin derin teknik düzeyde nasıl çalıştığına dair istihbarat toplamaya odaklandığına inanıyor. Bu tür bilgiler, rakiplerin zayıf yönleri kamuya açıklanmadan veya yamalanmadan önce tespit etmelerine yardımcı olabilir. Güvenlik araştırmacıları, çalınan materyalin analiz edilmesi veya tehdit grupları arasında paylaşılması durumunda bunun gelecekte istismar geliştirmeyi kolaylaştırabileceğini söylüyor.
Team Cymru Saha CISO’su Will Baxter, “Bu, modern saldırı yüzeyinin yazılım geliştirme yaşam döngüsünün derinliklerine kadar uzandığını ve kaynak kodu depolarını ve yapı ortamlarını hedef alan tehdit gruplarının, güvenlik kontrollerinin içeriden nasıl çalıştığını anlayarak uzun vadeli istihbarat değeri aradığının bir başka hatırlatıcısıdır” dedi.
Baxter, “Giden bağlantılara, tehdit aktörü komuta ve kontrol altyapısına ve olağandışı veri sızma modellerine ilişkin görünürlük, bu etkinliği erken tespit etmenin anahtarıdır. Harici tehdit istihbaratını dahili telemetri ile birleştirmek, savunuculara bu gelişmiş izinsiz girişleri tespit etmek ve kontrol altına almak için gereken bağlamı sağlar,” diye vurguladı Baxter.
F5, kontrol altına alma ve adli analize yardımcı olmak için harici siber güvenlik firmalarını görevlendirdi. Şirket ayrıca verileri çalınan dosyaların parçası olabilecek müşterilere de bildirimde bulunuyor.
Ancak zamanlama bundan daha kötü olamazdı. F5’in ihlalinin kamuoyuna duyurulmasından sadece bir hafta önce SonicWall, bilgisayar korsanlarının güvenlik duvarı yedekleme sistemlerini ihlal ederek müşteri yapılandırma verilerini açığa çıkardığını doğruladı.
Bu iki olay, saldırganların herkesi koruyan satıcıların peşine düşme eğiliminin arttığını gösteriyor. Bu, şirketlerin yalnızca kendi ağlarını değil, kendilerini savunmak için güvendikleri ağları da gözden geçirmeleri gerektiğine dair açık bir sinyaldir.