أعلنت شركة الأمن السيبراني الأمريكية F5 عن تعرض أنظمتها لاختراق كبير أسفر عن سرقة ملفات تحتوي على أجزاء من الشفرة المصدرية لمنتج BIG-IP، بالإضافة إلى معلومات تتعلق بثغرات لم تفصح عنها سابقاً. عزت الشركة هذا النشاط إلى جهة تهديد عالية المستوى مرتبطة بدولة راعية، موضحة أن المهاجمين حافظوا على وصول طويل الأمد وذي استمرارية عالية داخل شبكتها.
أفادت F5 بأنها اكتشفت الحادث في التاسع من أغسطس 2025، وفقاً للإفصاح الذي قدمته إلى هيئة الأوراق المالية والبورصات الأمريكية (Form 8-K)، وأشارت إلى أنها قد أجلت الإعلان العام عن الاختراق بناء على طلب من وزارة العدل الأمريكية. أكدت الشركة أنها اتخذت إجراءات شاملة لاحتواء الفاعل، ولم ترصد أي نشاط غير مصرح به جديد منذ بدء جهود الاحتواء، معربة عن اعتقادها بأن التدابير المطبقة كانت ناجعة.
لم تفصح F5 عن المدة الفعلية التي قضاها المهاجمون داخل بيئة تطوير BIG-IP، لكنها أوضحت أنها لم ترَ مؤشرات على استغلال الثغرات المسروقة في سياق خبيث حتى تاريخه. كما أكدت أن قواعد بيانات العملاء، ونظم إدارة العلاقات (CRM)، والأنظمة المالية، ونظم إدارة حالات الدعم، ونظام iHealth لم يصلها المخترقون.
مع ذلك، اعترفت الشركة بأن بعض الملفات التي نهبت من منصة إدارة المعرفة قد تضمنت معلومات تنفيذية أو تكوينية تخص شريحة صغيرة من العملاء. سيخضع هؤلاء العملاء لمراجعة مباشرة وسيتلقون إشعارات رسمية بعد اكتمال فحص الملفات المسربة.
عقب اكتشاف الاختراق، استعانت F5 بخدمات فرق استجابة مختصة من Google Mandiant و CrowdStrike. كما قامت بتدوير بيانات الاعتماد وشهادات التوقيع والمفاتيح، وتقوية ضوابط الوصول، ونشر أدوات رصد محسنة وتعزيز بيئة تطوير المنتجات بإجراءات أمان إضافية، وإدخال تحسينات على بنية الشبكة الأمنية.
حذرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) من أن البيانات المسروقة، بما في ذلك أجزاء من الشفرة المصدرية والمعلومات المتعلقة بالثغرات غير المنشورة، قد تمنح الفاعل ميزة تقنية لتطوير استغلالات مرجهة. أصدرت الوكالة توجيهاً طارئاً يطالب الجهات الفيدرالية بجرد منتجات F5 BIG-IP، والتحقق من إمكانية وصول واجهات الإدارة المتصلة بالشبكة العامة، وتطبيق التحديثات الجديدة الصادرة عن F5 قبل تاريخ 22 أكتوبر 2025.
جاء في توجيه CISA أن قدرة الفاعل على الوصول قد تتيح له إجراء تحليلات ثابتة وديناميكية بهدف تحديد عيوب منطقية وثغرات اليوم صفر، وبالتالي تطوير أدوات استغلال مخصصة. طالبت الوكالة الجهات بتشديد إعدادات الأجهزة المواجهة للعامة، وفصل الأجهزة التي تجاوزت نهاية عمر الدعم، وتخفيف أثر ثغرة تسرب ملفات تعريف الارتباط الخاصة بـ BIG-IP. كما طلب رفع جرد كامل بمنتجات F5 والإجراءات المتخذة إلى CISA بحد أقصى بتاريخ 29 أكتوبر 2025.
نقلت تقارير إخبارية أن المهاجمين ظلوا داخل شبكة الشركة لمدة لا تقل عن 12 شهراً، وأن الاختراق شمل استخدام برمجيات خبيثة تعرف باسم BRICKSTORM. وصفت هذه البرمجية بأنها باب خلفي ينسب إلى مجموعة تجسس إلكتروني ذات صلة بالصين، وتعرّف في دوائر الباحثين بالرمز UNC5221.
في الآونة الأخيرة، كشفت تقارير من Mandiant و Google Threat Intelligence Group عن استهداف مجموعات صينية مشتبه بها لشركات في قطاعات الخدمات القانونية، ومزودي الخدمات السحابية، ومزودي خدمات التعهيد، وشركات تقنية أخرى، بهدف نشر الباب الخلفي BRICKSTORM. قال خبراء أمنيون إن سرقة الشفرة المصدرية عادة ما تتطلب وقتاً لاكتشاف نقاط قابلة للاستغلال، لكن سرقة معلومات عن ثغرات لم تُنشر تزيد من خطر تسريع تطوير أدوات الاستغلال من قبل المهاجمين.
أوصى الخبراء بأن يقوم مستخدمو منتجات F5 بتطبيق آخر التحديثات المتاحة لمنتجات BIG-IP، و F5OS، و BIG-IP Next for Kubernetes، و BIG-IQ، و APM clients فوراً لضمان أفضل حماية ممكنة. كما شددوا على ضرورة مراقبة مؤشرات اختراق محتملة، والحد من الوصول إلى واجهات الإدارة، وحظر النسخ المنتهية الدعم.
