Un attacco informatico che gli esperti definiscono “potenzialmente catastrofico” ha colpito F5, una delle principali aziende statunitensi di cybersicurezza.
Secondo quanto riportato da fonti vicine all’inchiesta, dietro la violazione ci sarebbero hacker legati allo Stato cinese, che per oltre un anno avrebbero avuto accesso ai sistemi interni della società con sede a Seattle.
F5 ha confermato l’incidente in un documento ufficiale, spiegando che i pirati informatici sono riusciti a ottenere un “accesso persistente e di lungo periodo” a diversi ambienti aziendali.
Il danno principale riguarda il furto di frammenti di codice sorgente della suite BIG-IP, il cuore tecnologico che gestisce e protegge le applicazioni di migliaia di organizzazioni nel mondo, dalle multinazionali Fortune 500 fino alle agenzie federali americane.
F5: il sorgente di BIG-IP nelle mani degli hacker
La piattaforma BIG-IP è un pilastro silenzioso della rete globale: bilancia il traffico dei server, protegge le applicazioni con firewall e controlli d’accesso, e garantisce la continuità dei servizi digitali. Averne sottratto il codice sorgente equivale, di fatto, a fornire a potenziali avversari una mappa dettagliata dei suoi punti deboli.
Secondo le informazioni trapelate, gli intrusi avrebbero rubato anche dati su vulnerabilità non ancora divulgate, cioè falle a cui F5 stava lavorando per correggerle. È questo dettaglio ad allarmare maggiormente gli esperti: significa che gli hacker potrebbero sfruttare bug di sicurezza ancora ignoti al pubblico, prima che le patch vengano distribuite.
La portata dell’attacco è tale che il CEO François Locoh-Donou ha deciso di informare personalmente i clienti, molti dei quali gestiscono infrastrutture critiche o servizi pubblici. La società, nel frattempo, ha pubblicato linee guida di mitigazione e avviato un’indagine interna per valutare l’estensione del danno.
Pechino respinge le accuse
Dal canto suo, la Cina respinge ogni responsabilità, con toni particolarmente duri. “Per quanto riguarda accuse infondate come queste, formulate senza prove, la posizione della Cina è già stata chiarita più volte,” ha dichiarato il portavoce del ministero degli Esteri Lin Jian durante una conferenza stampa a Pechino. “La Cina si oppone e contrasta sempre le attività di hacking in conformità alla legge. E si oppone fermamente alla diffusione di disinformazione per motivi politici.”
Nonostante la smentita ufficiale, diversi esperti di intelligence informatica statunitensi ritengono che dietro la violazione ci sia il gruppo noto come UNC5221, identificato da Mandiant, la divisione di threat intelligence di Google.
Il gruppo sarebbe attivo dal 2023 e specializzato nello spionaggio informatico, in particolare attraverso l’uso del malware Brickstorm, progettato per rubare codice sorgente da fornitori tecnologici e individuare vulnerabilità da sfruttare contro i loro stessi clienti.
L’allerta di USA e Regno Unito
L’entità della violazione ha spinto le autorità di Stati Uniti e Regno Unito a emettere avvisi d’emergenza. Negli USA, la Cybersecurity and Infrastructure Security Agency (CISA) ha parlato di “una minaccia significativa per le reti federali” e ha ordinato a tutte le agenzie governative di aggiornare i propri sistemi F5 entro il 22 ottobre.
Il National Cyber Security Centre (NCSC) britannico ha lanciato un messaggio analogo, invitando le aziende a identificare tutti i dispositivi F5, controllarne l’integrità e installare immediatamente gli aggiornamenti di sicurezza.
Entrambe le agenzie temono che le vulnerabilità dei prodotti F5 possano diventare una porta d’ingresso per attacchi mirati a infrastrutture strategiche.
Il commento di Palo Alto Networks
A delineare meglio la gravità dell’episodio è Michael Sikorski, Chief Technology Officer e responsabile dell’intelligence di Unit 42, la divisione di Palo Alto Networks.
“Unit 42 sta monitorando la comunicazione di F5 relativa ad accessi persistenti a lungo termine da parte di attori statali”, ha spiegato. “Il furto del codice sorgente di BIG-IP e di vulnerabilità precedentemente non divulgate da parte di un attore statale è significativo, in quanto potenzialmente facilita un rapido sfruttamento delle vulnerabilità”.
Secondo Sikorski, la peculiarità dell’attacco risiede proprio nella combinazione tra codice sorgente e dettagli tecnici su falle non ancora corrette. “Generalmente, se un attaccante ruba il codice sorgente, serve tempo per trovare falle da sfruttare. In questo caso, sono state rubate anche informazioni su vulnerabilità non divulgate che F5 stava attivamente cercando di correggere. Ciò consente ai responsabili di sfruttare anche minacce per cui non esiste ancora una patch pubblica, aumentando potenzialmente la velocità di creazione di exploit”.
L’esperto ha quindi ricordato che la divulgazione di 45 vulnerabilità in questo trimestre, contro le 6 del precedente, dimostra come F5 stia cercando di reagire rapidamente per chiudere le falle sottratte prima che possano essere sfruttate.
“La pronta divulgazione e le linee guida di mitigazione di F5 sono passi iniziali essenziali. Per qualsiasi organizzazione che utilizzi F5 BIG-IP, la massima priorità ora è quella di implementare senza indugio le linee guida di mitigazione e hardening e avviare immediatamente attività di threat hunting”. “Ciò sottolinea la necessità di una strategia di difesa in profondità di fronte a vulnerabilità sconosciute, emergenti e precedentemente identificate”.
Fonte: HelpNet Security
