F5は最近、国家が支援する脅威アクターの標的となり、同社のシステムから機密情報が盗まれました。
セキュリティおよびアプリケーションデリバリーソリューションプロバイダーである同社は、水曜日にSECへの提出書類で、ハッカーが同社のBIG-IP主力プラットフォームの開発に関連するシステムを含む一部のシステムに長期間かつ持続的にアクセスしていたことを明らかにしました。
攻撃者は、BIG-IPのソースコードや未公開の脆弱性情報を含む一部のファイルを持ち出すことに成功しました。しかし、F5は、重大であるかリモートコード実行を可能にする未公開の脆弱性については把握しておらず、また未公開の脆弱性が実際に悪用されているという情報もないとしています。
「当社のソフトウェアサプライチェーン、ソースコード、ビルドおよびリリースパイプラインを含め、改ざんされた証拠はありません」とF5は述べ、さらに「脅威アクターがNGINXのソースコードや製品開発環境にアクセスまたは改ざんした証拠もなく、F5 Distributed Cloud ServicesやSilverlineシステムにアクセスまたは改ざんした証拠もありません」と付け加えました。
また、同社はハッカーがCRM、財務、iHealth、またはサポートケース管理システムからデータにアクセスしたり、盗んだりした証拠もないと指摘しています。
エンジニアリング知識管理プラットフォームから持ち出された一部のファイルには、「ごく一部」の顧客に関する設定および実装データが含まれていました。これらのファイルは現在精査中で、必要に応じて顧客に直接通知されます。
F5によると、同社は8月9日に攻撃を検知しましたが、米国司法省から開示の遅延を許可されていました。
上場企業は、司法省から遅延の許可を得た場合を除き、重大なサイバーセキュリティインシデントが発生した場合、4営業日以内に開示することが義務付けられています。F5の水曜日の提出書類によると、このインシデントは同社の業務に重大な影響を与えておらず、財務状況や業績に影響があるかどうかは現在も調査中です。
広告。スクロールして続きをお読みください。
F5は犯人に関する追加情報を共有していませんが、攻撃の特徴から中国が潜在的な脅威アクターであることが示唆されています。
中国の国家支援ハッカーは、未公開の脆弱性を発見するために大手ソフトウェア企業を標的にすることで知られています。
例えば、最近のToolShell攻撃でSharePointサーバーが標的となった後、Microsoftは調査を開始し、中国の国家支援脅威アクターが、一般公開前にベンダーが重大な脆弱性情報を受け取るMicrosoft Active Protections Program(MAPP)に登録している企業から、悪用されたSharePointの脆弱性情報を入手したかどうかを確認しました。
GoogleのThreat Intelligence GroupおよびMandiantは最近、中国のサイバースパイによるとされるキャンペーンがSaaSおよびテクノロジー業界を標的にしており、攻撃者の目的の一つはゼロデイ脆弱性を探すために分析できるソースコードを盗むことだった可能性があると報告しました。
さらに、中国のハッカーが攻撃でBIG-IPアプライアンスを標的にしたことも知られています。
