W branży cyberbezpieczeństwa obowiązuje żelazna zasada: nawet strażnicy mogą stać się celem. Najnowszy incydent w amerykańskiej firmie F5, producencie rozwiązań do zabezpieczania sieci i aplikacji, pokazuje, jak bardzo ta zasada jest aktualna. Według doniesień Bloomberg, hakerzy – prawdopodobnie powiązani z Chinami – mieli przebywać w sieci F5 nawet przez rok, uzyskując dostęp do plików, w tym fragmentów kodu źródłowego oraz dokumentacji dotyczącej luk bezpieczeństwa.

F5 potwierdziło „nieautoryzowany dostęp” do części systemów, jednocześnie zapewniając, że operacje firmy nie zostały zakłócone. To jednak tylko część obrazu. Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) oceniła ryzyko jako bezpośrednie zagrożenie dla federalnych sieci rządowych, ponieważ wiedza wykradziona z F5 może stać się mapą do włamań na szeroką skalę – już nie tylko w USA, ale we wszystkich organizacjach korzystających z ich urządzeń.

Sytuacja ma wymiar geopolityczny. Choć CISA nie wskazała sprawców, źródła Bloomberga mówią wprost o zaawansowanej grupie powiązanej z Chinami. To wpisuje się w szerszy trend: rosnącą liczbę operacji cyberszpiegowskich wymierzonych w dostawców infrastruktury krytycznej. Do podobnych incydentów dochodziło wcześniej m.in. w SolarWinds czy Microsoft Exchange.

Co istotne, F5 zdecydowało się na zaangażowanie kilku firm zewnętrznych – CrowdStrike, Mandiant, NCC Group – co sugeruje wysoki poziom złożoności ataku. Według informacji ujawnionych do SEC, Departament Sprawiedliwości USA pozwolił F5 opóźnić publiczne ujawnienie incydentu do 12 września, powołując się na bezpieczeństwo narodowe.

Dla klientów F5 – od sektora finansowego, przez administrację, po telekomunikację – ten incydent to sygnał alarmowy. Chodzi nie tylko o konieczność natychmiastowych aktualizacji. Jeżeli atakujący uzyskali wiedzę o niezidentyfikowanych jeszcze lukach, konsekwencje mogą być rozciągnięte w czasie. Brytyjskie NCSC już zaapelowało o aktualizację systemów F5, ostrzegając przed potencjalnymi wtórnymi atakami.

Ta historia pokazuje kluczową zmianę wektorów ataków: zamiast pojedynczych organizacji, celem stają się dostawcy technologii, którzy poprzez swoje produkty stanowią „wrota” do tysięcy sieci. Narracja o „zero trust” przestaje być marketingowym hasłem – staje się koniecznością w relacjach z każdym dostawcą, nawet tym z branży cyberbezpieczeństwa.