Hackers twee jaar binnen bij F5: sporen uitgewist

In dit artikel:

Chinese staatshackers drongen eind 2023 de systemen binnen van het Amerikaanse cybersecuritybedrijf F5 en bleven volgens Bloomberg pas tot augustus van dit jaar onopgemerkt. De indringers gebruikten een kwetsbaarheid in F5’s BIG‑IP-software om toegang te krijgen tot de VMware‑omgeving van het bedrijf en installeerden daarna de zogenaamde Brickstorm‑malware, bekend om langdurige, heimelijke toegang tot leveranciers van netwerk‑ en beveiligingstechnologie.

In plaats van direct actief te blijven, hielden de aanvallers zich maandenlang vrijwel stil. Die bewuste passiviteit had als doel forensische logs te laten verlopen: veel organisaties bewaren dure loggegevens ongeveer een jaar, waarna reconstructie van eerdere activiteiten lastiger wordt. Volgens bronnen faalde F5 deels in het toepassen van de eigen cybersecurityrichtlijnen, waardoor de indringers kritieke systemen konden bereiken.

F5 ontdekte de inbraak in augustus en schakelde extern onderzoek in (CrowdStrike en Mandiant/Google). CEO Francois Locoh‑Donou informeerde klanten; ook rechtshandhaving en overheidsinstanties zijn betrokken. Het bedrijf meldt geen aanwijzingen dat broncode is aangepast of dat onbekende kwetsbaarheden actief werden misbruikt, maar publiceerde na het incident wel beveiligingsupdates voor 44 kwetsbaarheden. De zaak benadrukt de risico’s van beperkte logbewaring en het gevaar van langdurige, stille toegang bij leveranciers in de IT‑keten.