По данным расследования, к атакам причастна высококвалифицированная группа правительственных хакеров, действовавшая скрытно и поддерживавшая длительный несанкционированный доступ к инфраструктуре компании. Обнаружить деятельность удалось лишь в августе 2025 года, после чего были предприняты меры по изоляции сетевых сегментов и прекращению утечек. С тех пор, как утверждает F5, признаков повторного проникновения не выявлено, передаёт Securitylab.
Исследование показало, что злоумышленники скачали часть файлов, включая фрагменты исходного кода BIG-IP и материалы о ещё не раскрытых уязвимостях, над которыми шла работа инженеров. Компания подчёркивает, что среди них нет критических или эксплуатируемых удалённо дефектов, а признаков их использования в реальных условиях не обнаружено. Кроме того, специалисты не нашли доказательств вмешательства в цепочку поставок — сборочные и релизные конвейеры, а также репозитории исходного кода остались нетронутыми. Независимую верификацию этого провели NCC Group и IOActive.
Проверка CRM-систем, финансовых и сервисных платформ (включая iHealth и систему поддержки клиентов) также не выявила признаков доступа к пользовательским данным. Однако часть выгруженных материалов из инженерного портала содержала конфигурационные сведения небольшой доли клиентов, которых F5 планирует уведомить напрямую. При этом экосистемы NGINX, Silverline и F5 Distributed Cloud, как утверждается, атакующие не затронули.
Одновременно F5 выпустила внеочередные обновления для BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и APM-клиентов. В компании настоятельно советуют установить эти версии как можно скорее, даже несмотря на то, что неизвестных критических уязвимостей в продуктах на данный момент не зафиксировано. Подробности содержатся в октябрьском Quarterly Security Notification.
Клиентам доступны дополнительные способы: руководство по поиску следов взлома в собственных средах, обновлённые рекомендации по усилению безопасности с автоматическими проверками в утилите iHealth Diagnostic Tool, а также инструкции по интеграции журналов событий BIG-IP в SIEM-системы. Эти настройки позволят оперативно отслеживать неудачные попытки входа, изменения прав и конфигурации, а также получать уведомления о подозрительной активности администраторов.