La guerra cibernetica tra stati non è certo una novità, ma quando gli effetti di queste operazioni nell'ombra emergono alla luce del sole, le dimensioni del fenomeno possono risultare davvero inquietanti. Quello che è accaduto a F5, Inc., azienda specializzata in soluzioni di sicurezza informatica e networking, rappresenta un esempio eloquente di quanto vulnerabili possano essere anche le infrastrutture più protette. La società statunitense ha dovuto ammettere pubblicamente che hacker sponsorizzati da uno stato estero hanno avuto accesso ai suoi sistemi per almeno un anno intero, scaricando dati sensibili che potrebbero compromettere la sicurezza di numerose organizzazioni.
La vicenda è emersa attraverso una comunicazione ufficiale alla Securities and Exchange Commission depositata il 15 ottobre scorso. Nel documento, F5 riconosce di aver scoperto ad agosto che un attore statale altamente sofisticato aveva ottenuto accesso non autorizzato ad alcuni dei suoi sistemi informatici. Secondo fonti anonime citate da Bloomberg, dietro l'operazione ci sarebbe la Cina, anche se l'azienda non ha mai nominato esplicitamente il paese responsabile. Ciò che risulta particolarmente preoccupante è la durata dell'infiltrazione: gli hacker avrebbero operato indisturbati nella rete aziendale per almeno dodici mesi prima di essere individuati.
F5 fornisce software di networking cruciali per una vasta gamma di clienti, dalle grandi corporations agli enti governativi statunitensi. I suoi prodotti gestiscono funzioni essenziali come la distribuzione del traffico di rete per prevenire sovraccarichi, firewall, crittografia delle comunicazioni e verifica delle credenziali. Gli intrusi sono riusciti a penetrare nell'ambiente di sviluppo dei prodotti BIG-IP e nelle piattaforme di gestione della conoscenza ingegneristica dell'azienda, scaricando file che contenevano informazioni di configurazione e implementazione relative a una piccola percentuale di clienti.
L'azienda californiana ha cercato di rassicurare i propri clienti affermando di non essere a conoscenza di vulnerabilità critiche non divulgate o di exploit attivi basati su falle di sicurezza sconosciute nei suoi prodotti. F5 ha dichiarato di essere impegnata nell'analisi dei file esfiltrati e di comunicare direttamente con i clienti coinvolti. Tuttavia, queste rassicurazioni non hanno impedito alle autorità federali americane di lanciare l'allarme sulla gravità della situazione.
L'Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti, nota con l'acronimo CISA, ha emesso un comunicato che definisce l'incidente come una minaccia informatica significativa per le reti federali. Secondo l'agenzia, lo sfruttamento delle informazioni ottenute potrebbe consentire agli aggressori di muoversi lateralmente all'interno delle reti delle organizzazioni che utilizzano software F5, estrarre dati sensibili e stabilire un accesso persistente ai sistemi. Nel peggiore degli scenari, questo potrebbe portare a un compromesso totale dei sistemi informativi presi di mira.
Non si tratta di un caso isolato nel panorama degli attacchi informatici sponsorizzati da stati nazionali. Solo pochi mesi fa, un'altra operazione aveva colpito i clienti di Microsoft SharePoint Server, richiedendo l'intervento dell'FBI. Questi episodi dimostrano come lo spazio cibernetico sia tutt'altro che pacifico, con operazioni di spionaggio e sabotaggio che si svolgono continuamente tra le superpotenze mondiali. La differenza è che questa volta l'attacco ha colpito proprio un'azienda che dovrebbe garantire la sicurezza di altri, creando un effetto domino potenzialmente devastante.
La CISA ha fornito linee guida specifiche per le organizzazioni che utilizzano software F5, raccomandando misure preventive e verifiche approfondite dei propri sistemi. Per quanto limitato possa sembrare il volume di dati compromessi secondo le dichiarazioni ufficiali di F5, gli esperti di sicurezza sanno bene che anche informazioni apparentemente marginali possono costituire la chiave per penetrare sistemi ben più vasti. Le informazioni di configurazione rubate potrebbero rivelare debolezze architetturali o pattern di implementazione che faciliterebbero futuri attacchi mirati.
L'episodio solleva interrogativi sulla capacità delle aziende di cybersecurity di proteggere se stesse mentre vendono protezione ad altri. Se un fornitore specializzato in soluzioni di sicurezza informatica può essere compromesso per un anno intero senza accorgersene, quale livello di fiducia possono riporre in queste tecnologie le organizzazioni che ne dipendono? La vicenda ricorda che nel mondo digitale contemporaneo, nessuno può considerarsi completamente al sicuro, nemmeno chi della sicurezza ha fatto il proprio core business.