كشفت تقارير أن قراصنة مرتبطين بوحدات إلكترونية مدعومة من الصين تمكنوا من التسلل إلى الشبكات الداخلية لشركة F5 للأمن السيبراني في أواخر عام 2023 وبقوا مختبئين حتى أغسطس من هذا العام. وأقرت الشركة، التي تتخذ من سياتل مقراً لها، في ملفات رسمية أن أنظمتها تعرضت للاختراق لما يقرب من عامين، مما منح المهاجمين وصولاً طويل الأمد ومستمراً إلى بنيتها التحتية الداخلية.
ما الذي تم سرقته في الاختراق؟
أدى هذا الاختراق إلى الكشف عن الكود الأساسي للبرامج، وبيانات التكوين الحساسة، ومعلومات حول ثغرات أمنية غير معلنة في منصة BIG-IP التابعة للشركة. تجدر الإشارة إلى أن هذه التقنية تشغل شبكات 85% من شركات Fortune 500 والعديد من الوكالات الفيدرالية الأمريكية.
كيف حدث الاختراق؟
تمكن القراصنة من الدخول من خلال برنامج تابع لـ F5 نفسه، كان معرضاً للخطر على الإنترنت بسبب عدم تزامن الموظفين مع سياسات الأمن الداخلي. استغل المهاجمون هذه النقطة الضعيفة لدخول الأنظمة والتجول بحرية بداخلها.
وأبلغت شركة F5 عملاءها أن هذا الخطأ يتعارض مباشرة مع إرشادات الأمن الإلكتروني التي تدرسها الشركة لعملائها. وعندما انتشرت الأنباء، انخفضت أسهم F5 بأكثر من 10% في 16 أكتوبر، مما محى ملايين الدولارات من قيمتها السوقية.
تكتيك القراصنة: الاختباء والتحكم
استخدم القراصنة تقنية F5 نفسها للحفاظ على التخفي والتحكم. وأرسلت F5 لعملائها دليلاً للبحث عن برنامج ضار يسمى “بريكستورم” يستخدمه قراصنة مدعومون من الدولة الصينية. وأكدت شركة “مانديانت” المتخصصة في الأمن أن “بريكستورم” سمح للقراصنة بالتحرك بهدوء عبر الأنظمة الافتراضية والبنية التحتية الأعمق. وبعد تأمين موطئ قدمهم، بقي المتسللون غير نشطين لأكثر من عام، وهي تكتيك قديم لكنه فعال للتهرب من فترة الاحتفاظ بسجلات الأمان للشركة.
عادة ما يتم حذف السجلات، التي تسجل كل أثر رقمي، بعد 12 شهراً لتوفير التكاليف. وبمجرد اختفاء هذه السجلات، أعاد القراصنة تفعيل أنشطتهم وسحبوا البيانات من BIG-IP، بما في ذلك الكود الأساسي وتقارير الثغرات الأمنية.
وقالت F5 إنه بينما تم الوصول إلى بعض بيانات العملاء، فإنه لا يوجد دليل حقيقي على أن القراصنة قاموا بتغيير الكود الأساسي أو استخدموا المعلومات المسروقة لاستغلال العملاء.
تحذيرات طارئة من الحكومات
وصفت وكالة الأمن السيبراني الأمريكية (CISA) الحادث بأنه “تهديد إلكتروني كبير يستهدف الشبكات الفيدرالية”. وفي توجيه طارئ، أمرت الوكالة جميع الوكالات الفيدرالية بتحديد وتحديث منتجات F5 الخاصة بها.
كما أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة تحذيراً بشأن الاختراق، محذراً من أن القراصنة يمكنهم استخدام وصولهم إلى أنظمة F5 لاستغلال تكنولوجيا الشركة وتحديد ثغرات إضافية.
وفي أعقاب الكشف عن الخبر، عقد الرئيس التنفيذي لشركة F5 جلسات إحاطة مع العملاء لشرح نطاق الاختراق. وأكد أن الشركة قد استعانت بشركتي “كرود سترايك” و “مانديانت” التابعة لجوجل للمساعدة إلى جانب محققي الحكومة وإنفاذ القانون.
وذكر مسؤولون مطلعون على التحقيق أن الحكومة الصينية هي من يقف وراء الهجوم. لكن متحدثاً صينياً رفض هذه الاتهامات ووصفها بأنها “لا أساس لها”.
الأسئلة الشائعة
س: ما هي شركة F5 ولماذا يعتبر اختراقها مهماً؟
ج: F5 هي شركة أمن سيبراني كبيرة، وتم اختراق أنظمتها الداخلية. هذا مهم لأن منصتها BIG-IP تشغل شبكات معظم الشركات العالمية الكبرى والوكالات الحكومية الأمريكية، مما يعرضها للخطر.
س: كيف تمكن القراصنة من البقاء مختبئين لفترة طويلة؟
ج: استخدموا برنامجاً ضاراً متقدماً وتوقفوا عن النشاط لأكثر من عام، منتظرين حذف سجلات الأمان الخاصة بالشركة، ثم عادوا لسرقة البيانات بعد أن أصبح من الصعب تتبعهم.
س: ما الذي يجب على عملاء F5 فعله الآن؟
ج: نصح الخبراء والحكومات جميع عملاء F5، وخاصة الوكالات الحكومية، بتحديث منتجات F5 الخاصة بهم على الفور لسد أي ثغرات أمنية قديمة والحماية من الهجمات المحتملة.
