Według doniesień agencji Bloomberg, chińscy hakerzy włamali się do systemów amerykańskiej firmy F5, zajmującej się cyberbezpieczeństwem, pod koniec 2023 roku i pozostali w nich niezauważeni aż do sierpnia 2025.
Atakujący zastosowali nietypową, ale skuteczną taktykę – przez wiele miesięcy pozostawali nieaktywni, czekając, aż wygasną dane z dzienników śledczych (forensic logs), które mogłyby posłużyć do odtworzenia ścieżki włamania.
Według źródeł Bloomberga, atak rozpoczął się pod koniec 2023 roku poprzez wykorzystanie podatności w oprogramowaniu BIG-IP, kluczowym rozwiązaniu F5 wykorzystywanym w sieciach i infrastrukturze aplikacyjnej. Co więcej, pracownicy firmy mieli nie stosować się do własnych zasad bezpieczeństwa, które F5 zaleca swoim klientom. To zaniechanie umożliwiło napastnikom uzyskanie dostępu do krytycznych systemów i zainstalowanie malware’u Brickstorm – znanego z utrzymywania długotrwałego, ukrytego dostępu do środowisk technologicznych.
Po uzyskaniu kontroli nad środowiskiem VMware, hakerzy przyjęli wyjątkowo cierpliwą strategię – pozostali praktycznie nieaktywni przez ponad rok. Jak podkreślają eksperci, to taktyka świadcząca o wysokim poziomie profesjonalizmu. Wiele firm przechowuje dane z dzienników zabezpieczeń tylko przez 12 miesięcy ze względu na ich kosztowny charakter. Czekając, aż te dane wygasną, cyberprzestępcy skutecznie zacierają ślady po swoim włamaniu.
W czasie obecności w systemach F5, hakerzy uzyskali dostęp do wrażliwych danych niewielkiej części klientów. Naruszenie bezpieczeństwa wykryto dopiero w sierpniu 2025 roku, po czym firma natychmiast zaangażowała specjalistów z CrowdStrike oraz Google Mandiant do przeprowadzenia dochodzenia. Dyrektor generalny F5, Francois Locoh-Donou, poinformował klientów o incydencie. W śledztwo zaangażowane są również amerykańskie służby ścigania i agencje rządowe.
Według oświadczenia F5, nie ma dowodów na to, iż doszło do modyfikacji kodu źródłowego lub aktywnego wykorzystania nieznanych wcześniej luk. Mimo to firma opublikowała aktualizacje zabezpieczeń dla 44 podatności odkrytych po incydencie. Atak na F5 to kolejna odsłona starcia Chiny-Zachód w cyberprzestrzeni.
