Госхакеры в сети F5. Что украли из «мозга» BIG-IP и чем это грозит клиентам

В компании F5 сообщили о серьёзном инциденте, связанном с компрометацией их внутренних систем, включая среду разработки BIG-IP и инженерные базы знаний. По данным расследования, к атакам причастна высококвалифицированная группа правительственных хакеров, действовавшая скрытно и поддерживавшая длительный несанкционированный доступ к инфраструктуре компании. Обнаружить активность удалось лишь в августе 2025 года, после чего были предприняты меры по изоляции сетевых сегментов и прекращению утечек. С тех пор, как утверждает F5, признаков повторного проникновения не выявлено.

Исследование показало, что злоумышленники скачали часть файлов, включая фрагменты исходного кода BIG-IP и материалы о ещё не раскрытых уязвимостях, над которыми шла работа инженеров. Компания подчёркивает, что среди них нет критических или эксплуатируемых удалённо дефектов, а признаков их использования в реальных условиях не обнаружено. Кроме того, специалисты не нашли доказательств вмешательства в цепочку поставок — сборочные и релизные конвейеры, а также репозитории исходного кода остались нетронутыми. Независимую верификацию этого провели NCC Group и IOActive.

Проверка CRM-систем, финансовых и сервисных платформ (включая iHealth и систему поддержки клиентов) также не выявила признаков доступа к пользовательским данным. Однако часть выгруженных материалов из инженерного портала содержала конфигурационные сведения небольшой доли клиентов, которых F5 планирует уведомить напрямую. При этом экосистемы NGINX, Silverline и F5 Distributed Cloud, как утверждается, атакующие не затронули.

После инцидента F5 начала масштабное усиление защиты корпоративной инфраструктуры и продуктовых сред. Для расследования и форензики были привлечены CrowdStrike, Mandiant и другие компании, а также правоохранительные органы. В рамках программы по повышению устойчивости разработчики уже обновили системы управления доступом, внедрили дополнительные уровни мониторинга, усилили сетевую сегментацию и модернизировали процессы инвентаризации и автоматического устранения уязвимостей. Среда разработки BIG-IP получила новые механизмы контроля, журналирования и анализа активности.

Одновременно F5 выпустила внеочередные обновления для BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и APM-клиентов. В компании настоятельно советуют установить эти версии как можно скорее, даже несмотря на то, что неизвестных критических уязвимостей в продуктах на данный момент не зафиксировано. Подробности содержатся в октябрьском Quarterly Security Notification.

Клиентам доступны дополнительные ресурсы: руководство по поиску следов компрометации в собственных средах, обновлённые рекомендации по усилению безопасности с автоматическими проверками в утилите iHealth Diagnostic Tool, а также инструкции по интеграции журналов событий BIG-IP в SIEM-системы. Эти настройки позволят оперативно отслеживать неудачные попытки входа, изменения прав и конфигурации, а также получать уведомления о подозрительной активности администраторов.

F5 также сообщила о планах провести дополнительный аудит кода и пентесты своих продуктов совместно с NCC Group и IOActive, а также расширить партнёрство с CrowdStrike. В рамках инициативы решения Falcon EDR и Overwatch Threat Hunting будут интегрированы с BIG-IP, предоставляя клиентам расширенные возможности мониторинга и защиты. Для всех поддерживаемых клиентов F5 пообещала бесплатные лицензии Falcon EDR.

Руководство компании подчеркнуло, что инцидент стал для них уроком и стимулом к пересмотру внутренних процедур. В заявлении подчёркивается, что доверие клиентов — ключевой приоритет, и компания намерена делиться опытом расследования с сообществом, чтобы предотвратить аналогичные атаки в будущем.