Tòa nhà F5, trụ sở chính của công ty F5 tại Seattle, Washington, Mỹ. Ảnh SC Media

Công ty F5 có trụ sở chính tại Seattle, Washington, Mỹ với 75 văn phòng đại diện tại 43 quốc gia. Công ty cung cấp các giải pháp bảo mật, cân bằng tải và tối ưu hiệu năng ứng dụng cho doanh nghiệp và cơ quan chính phủ. Sản phẩm chủ lực của hãng, BIG-IP, là nền tảng bảo vệ và quản lý lưu lượng mạng có thể triển khai trên cả thiết bị phần cứng, môi trường ảo hóa và đám mây, giúp ngăn chặn tấn công DDoS và truy cập trái phép.

BIG-IP được sử dụng rộng rãi trong trung tâm dữ liệu, hệ thống ngân hàng, tập đoàn lớn và cơ quan nhà nước. Vì vậy, việc rò rỉ mã nguồn và dữ liệu kỹ thuật của nền tảng này được đánh giá là sự cố đặc biệt nghiêm trọng, có thể khiến hàng trăm nghìn tổ chức toàn cầu đối mặt nguy cơ bị khai thác.

F5 cho biết đã phát hiện vụ xâm nhập vào ngày 9/8/2025 sau khi phát hiện hoạt động bất thường trong hệ thống phát triển phần mềm. Nhóm tấn công, được mô tả là một “thực thể đe dọa mạng cấp quốc gia” có năng lực cao, đã thâm nhập sâu vào mạng nội bộ và duy trì quyền truy cập trong thời gian dài.

Theo thông tin từ Bloomberg công bố ngày 16/10, những kẻ tấn công được cho là đã ẩn náu trong hạ tầng của F5 suốt ít nhất 12 tháng mà không bị phát hiện. Vụ xâm nhập liên quan đến việc sử dụng một họ phần mềm độc hại có tên BRICKSTORM, được cho là do nhóm gián điệp mạng UNC5221 phát triển và điều hành.

Tháng trước, các chuyên gia của Mandiant và Google Threat Intelligence Group (GTIG) cũng tiết lộ rằng BRICKSTORM đang được sử dụng trong nhiều chiến dịch tấn công khác, nhắm vào các công ty trong lĩnh vực dịch vụ pháp lý, nhà cung cấp phần mềm dạng dịch vụ (SaaS), gia công quy trình kinh doanh (BPO) và công nghệ tại Hoa Kỳ. Các nhóm này phát tán mã độc để cài cắm backdoor, từ đó duy trì quyền truy cập bí mật vào hệ thống nạn nhân.

Theo báo cáo gửi Ủy ban Chứng khoán và Giao dịch Mỹ (SEC), tin tặc không chỉ tiếp cận mã nguồn phần mềm BIG-IP mà còn lấy được thông tin về những lỗ hổng bảo mật chưa công bố. F5 khẳng định đến nay chưa ghi nhận việc các lỗ hổng này bị khai thác trên thực tế và cũng chưa phát hiện dấu hiệu chuỗi cung ứng phần mềm bị can thiệp.

BIG-IP là nền tảng điều phối ứng dụng, cân bằng tải và bảo mật mạng được sử dụng rộng rãi trong hạ tầng của các doanh nghiệp lớn và cơ quan chính phủ. Theo F5, sản phẩm này hiện phục vụ 48 trong số 50 công ty thuộc nhóm Fortune 50 – danh sách những doanh nghiệp có doanh thu cao nhất nước Mỹ. Việc mã nguồn và dữ liệu kỹ thuật bị đánh cắp khiến giới chuyên gia lo ngại tin tặc có thể phát triển công cụ khai thác trước khi bản vá được phát hành.

Theo dữ liệu từ tổ chức Shadowserver Foundation, hơn 600.000 thiết bị BIG-IP đang được kết nối Internet có khả năng bị ảnh hưởng. Trong đó, Mỹ chiếm gần một nửa, còn lại phân bố ở Nhật Bản, Đức và nhiều quốc gia khác. Trước tình hình này, Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã ban hành Chỉ thị khẩn ED 26-01, yêu cầu các cơ quan liên bang kiểm kê, cô lập hoặc cập nhật ngay các thiết bị F5 lỗi thời, đồng thời báo cáo kết quả khắc phục trước ngày 29/10/2025.

F5 cho biết đã thực hiện hàng loạt biện pháp đối phó, bao gồm thay mới chứng chỉ ký phần mềm, tăng cường kiểm soát truy cập nội bộ, triển khai hệ thống giám sát mối đe dọa và phối hợp với các công ty an ninh mạng như CrowdStrike, Mandiant và NCC Group để đánh giá toàn diện hạ tầng. Công ty cũng khẳng định không phát hiện mã độc được cài vào chuỗi cung ứng phần mềm.

Dù chưa ghi nhận trường hợp tấn công khai thác trực tiếp từ vụ rò rỉ này, các chuyên gia cảnh báo rằng việc mã nguồn và thông tin lỗ hổng bị đánh cắp sẽ tạo điều kiện để tin tặc phát triển công cụ tấn công mới, đặc biệt với những hệ thống chậm cập nhật hoặc kết nối Internet công khai.

Sự việc của F5 được xem là một lời cảnh báo về quy mô và mức độ tinh vi ngày càng tăng của các chiến dịch tấn công có chủ đích vào các nhà cung cấp hạ tầng công nghệ trọng yếu. Ngay cả các công ty an ninh mạng cũng có thể là mục tiêu của tội phạm, gây ảnh hưởng lan rộng đến các tổ chức và doanh nghiệp trên toàn cầu.

An Lâm (Theo The Hacker News)