Киберпреступная группа UNC5221, связанная с Китаем, активно атакует организации, использующие продукты F5 BIG-IP, после подтвержденного взлома разработчика, в ходе которого злоумышленники, предположительно представляющие государственные интересы, похитили внутренние данные, включая части исходного кода BIG-IP и информацию об уязвимостях. 15 октября 2025 года Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило срочное предписание ED-26-01, предупредив о неминуемой угрозе для федеральных сетей и потребовав срочной инвентаризации, усиления защиты и установки исправлений для затронутых устройств F5. Похищенный код повышает риск быстрого обнаружения и использования уязвимостей нулевого дня против общедоступных служб управления.
Описание
Компания F5 сообщила, что злоумышленники были обнаружены в ее системах 9 августа, и уведомила клиентов, что хакеры оставались в корпоративной сети не менее 12 месяцев. Данное заявление последовало после разрешения от Министерства юстиции США, которое позволило F5 отложить публичное раскрытие информации о взломе согласно пункту 1.05(c) формы 8-K из-за продолжающихся действий правоохранительных органов. Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях или уязвимостях удаленного выполнения кода, которые могли быть использованы атакующими, и нет доказательств того, что какие-либо непубличные недочеты применялись в реальных атаках.
Согласно форме 8-K, поданной в Комиссию по ценным бумагам и биржам, компания впервые узнала о несанкционированном доступе 9 августа и инициировала стандартные меры реагирования на инциденты, включая привлечение внешних киберконсультантов. В сентябре Министерство юстиции разрешило F5 не раскрывать публично информацию о взломе, что допускается правительством, если утечка создает "существенный риск для национальной безопасности или общественной безопасности".
Технические детали атаки
Компания Resecurity первой опубликовала анализ бэкдора BRICKSTORM, предоставив дополнительные подробности о вовлеченности угроз из Китая. В ходе расследования были собраны многочисленные артефакты, связанные с методами группы UNC5221, нацеленными на сетевое оборудование. Наиболее значимые из них включают статически скомпонованный исполняемый файл ELF на языке Go, соответствующий семейству BRICKSTORM, небольшие скрипты развертывания, используемые для установки и обеспечения сохранности бэкдора на пограничных устройствах, а также веб-компонент типа servlet filter, используемый этими же злоумышленниками для сбора учетных данных после получения первоначального доступа.
Бэкдор представляет собой автономный исполняемый файл (Go, linux/amd64) без внешних зависимостей, предназначенный для устройств с ограниченной пользовательской средой. Он включает в себя полный веб-транспорт (TLS-клиент, поддержку HTTP/1.1/HTTP/2, обработку WebSocket-сессий), библиотеку Yamux для мультиплексирования множества логических потоков через одно сокет-соединение, механизм SOCKS для TCP-проксирования и полный стек multipart/form-data для передачи файлов, похожей на веб-трафик.
Yamux - это библиотека мультиплексирования для Golang. Она полагается на базовое соединение, обеспечивающее надежность и порядок, такое как TCP или Unix domain sockets, и предоставляет потоково-ориентированное мультиплексирование. В этой атаке злоумышленник использовал эксплойт, развертывал ELF-файл на устройстве BIG-IP после получения возможности выполнения кода, настраивал его на установление исходящего TLS-соединения с поддержкой HTTP/2, обновлял соединение до WebSocket для создания устойчивого канала управления C2 (Command and Control), а затем запускал его с параметрами C2, предоставленными оператором, для мультиплексирования параллельных потоков через один сокет с помощью Yamux.
В рамках этой сессии злоумышленник включает прокси-сервер в стиле SOCKS для доступа к внутренним приложениям с IP-адреса управления устройства, перемещает данные по тому же каналу, используя multipart/form-data с кодированием base64, quoted-printable и сжатием, чтобы эксфильтрация была похожа на обычный веб-трафик. Исследователи заметили отсутствие жестко заданных доменов или учетных данных в ELF-файле, что позволяет предположить, что атакующие, вероятно, использовали уязвимость нулевого дня для получения доступа и могут беспрепятственно подключаться к своей цели. Если злоумышленник получает возможность выполнения кода (через 0-day или слабо защищенные службы), BRICKSTORM может превратить BIG-IP в скрытую точку выхода и внутренний прокси с минимальным логированием и длительным временем пребывания в системе.
Происхождение угрозы и тактики
Анализ показал, что атакующие используют публично доступные репозитории; части кодовой базы, по-видимому, происходят из репозиториев, поддерживаемых в Китае. Некоторые из этих проектов в репозиториях созданы со злонамеренной целью для атак на пользовательские системы. Деятельность группы UNC5221 может быть соотнесена с матрицей MITRE ATT&CK. Для первоначального доступа используется техника T1190 "Exploit Public-Facing Application" - компрометация общедоступных служб управления BIG-IP для получения возможности выполнения кода. Для выполнения применяются техники T1204.002 "Malicious File" (запуск ELF-бэкдора) и T1106 "Native API" (использование API ОС). Для обеспечения сохранности используется T1543.002 "Create/Modify System Process: systemd" - создание или изменение модуля systemd для автозапуска.
Уклонение от защиты включает T1027 "Obfuscated/Compressed Files & Info" (обфускация и сжатие данных) и T1036 "Masquerading" (маскировка под нормальный веб-трафик через HTTP/2 и WebSocket). Для доступа к учетным данным применяется T1556 "Modify Authentication Process" через веб-компонент для перехвата логинов. Перемещение по сети осуществляется с помощью T1090 "Proxy" (SOCKS-прокси) и T1572 "Protocol Tunneling" (туннелирование через Yamux). Управление и контроль (Command & Control) реализуется через T1071.001 "Web Protocols (HTTPS)", T1071.004 "Application Layer Protocol: WebSocket", T1573 "Encrypted Channel" (шифрование TLS) и T1090.003 "Multi-hop Proxy" (использование BIG-IP как точки выхода). Сбор и эксфильтрация данных используют T1005 "Data from Local System", T1041 "Exfiltration Over C2 Channel" и T1560 "Archive Collected Data" (архивация и кодирование).
Срочные меры по устранению уязвимостей
F5 раскрыла более двадцати уязвимостей, затрагивающих BIG-IP (все модули), F5OS (A/C) и BIG-IP Next (SPK/CNF). Несколько проблем могут позволить удаленно эксплуатировать общедоступные службы управления. Если вы используете какие-либо затронутые версии, относитесь к этому как к чрезвычайной ситуации: уберите публичный доступ к панелям управления, ограничьте исходящий трафик и немедленно обновитесь до последних исправленных версий от поставщика. После установки исправлений убедитесь, что устройства больше не соответствуют затронутым диапазонам версий, включите только необходимые службы и отслеживайте аномальный исходящий трафик HTTP/2/WebSocket из подсетей с оборудованием.
Индикаторы компрометации
SHA256
- 2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df
- 90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035
- aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878
