Una intrusión digital de más de un año en la empresa de ciberseguridad F5, publicitada la semana pasada y atribuida a espías chinos, tiene defensores en toda la industria. buscando señales de compromiso entre las muchas redes corporativas que utilizan sus productos.
A varios les preocupa que se produzcan más revelaciones. Hasta ahora, se sabe poco sobre el alcance del hack más allá de las declaraciones de F5 de que su código fuente e información confidencial sobre las vulnerabilidades del software fueron robados. El sitio web de la compañía dice que presta servicios a más de cuatro de cada cinco compañías Fortune 500 de alguna manera, y funcionarios estadounidenses han dicho que las redes federales estaban entre las que fueron atacadas después del ataque y han instado a tomar medidas inmediatas.
Esa amplia presencia por sí sola ha provocado un malestar generalizado.
Las acciones de F5 cayeron un 12 por ciento el jueves pasado, el día en que publicó una serie de correcciones para productos previamente vulnerables, aunque se recuperaron ligeramente al final de la semana.
Varios ejecutivos y analistas de ciberseguridad compararon el ataque a F5 con la extraordinaria intrusión en la empresa de software SolarWinds descubierta en diciembre de 2020.
Esa empresa, cuyo software Orion se utilizaba para monitorear la red, se convirtió involuntariamente en el trampolín hacia una serie de redes altamente sensibles después de que su código fuente fuera manipulado.
Alrededor de una docena de departamentos gubernamentales finalmente fueron vulnerados en la amplia operación de espionaje.
Al igual que SolarWinds, que era poco conocido en el mercado de consumo antes del ataque, F5 tiene una gran cantidad de equipos y servicios tecnológicos (equilibradores de carga, redes de entrega de contenido y firewalls) que normalmente desempeñan roles de bajo perfil pero críticos en la dirección, gestión y filtrado del tráfico de Internet de las organizaciones.
“No estoy comparando esto con el ataque de SolarWinds, pero lo estoy comparando con el hecho de que la gente nunca oye hablar de él, pero está en la red de todos”, dijo Michael Sikorski, director de tecnología de la Unidad 42 centrada en inteligencia de amenazas de Palo Alto Networks.
“Cuando hablamos del 80 por ciento de las empresas Fortune 500, estamos hablando de bancos, bufetes de abogados, empresas de tecnología, lo que sea”.
Sikorski dijo que los piratas informáticos de F5 robaron el código fuente e información de vulnerabilidad no divulgada, lo que potencialmente les daría la capacidad de desarrollar herramientas para el ciberespionaje en un período de tiempo ajustado.
Bob Huber, director de seguridad de la firma de ciberseguridad Tenable, dijo que él también tenía en mente a SolarWinds mientras intentaba darle sentido a lo que estaba sucediendo en F5.
“Por el momento, esto no es SolarWinds”, dijo a Reuters, señalando que F5 ha dicho que no tenía “ninguna evidencia de modificación en nuestra cadena de suministro de software”.
Aún así, Huber dijo que había señales de que se avecinaban más revelaciones no deseadas, dada la escasez de información sobre la violación y la urgencia con la que el gobierno estaba actuando para remediarla, a través de una directiva de emergencia del 15 de octubre y una advertencia pública de que redes federales anónimas estaban siendo atacadas por un “actor de amenazas cibernéticas de un estado-nación”.
“Estamos esperando que llegue el otro zapato”, dijo.
Si bien no se ha identificado públicamente a otras víctimas de la violación de F5, la empresa de ciberseguridad Greynoise Intelligence, que monitorea el escaneo de Internet y la actividad de ataque, encontró indicios de que un actor desconocido estaba buscando dispositivos F5 en Internet desde hace aproximadamente un mes.
Greynoise detectó un aumento importante en la actividad de escaneo centrada en F5 a partir de mediados de septiembre, según Glenn Thorpe, director senior de investigación de seguridad e ingeniería de detección de la compañía.
“Eso implica que alguien en algún lugar sabía algo”, dijo Thorpe.
