L’azienda statunitense di cybersicurezza F5, Inc. ha rivelato di aver subito una grave violazione informatica scoperta internamente il 9 agosto 2025. Un attore sponsorizzato da uno Stato altamente sofisticato è riuscito a infiltrarsi nei sistemi F5 e a restarvi nascosto per oltre un anno. Le autorità statunitensi hanno persino autorizzato un rinvio della divulgazione pubblica per motivi di sicurezza nazionale (fino al 12 settembre), così che la notizia della violazione è stata resa pubblica solo il 15 ottobre 2025. Questa tempistica insolita, ovvero con settimane di ritardo tra scoperta e annuncio, riflette la delicatezza geopolitica dell’incidente e ha acceso i riflettori sui temi della sovranità cibernetica e del rischio legato alle minacce informatiche cinesi.
Furto di codice sorgente e vulnerabilità
Le indagini hanno rivelato che gli “hacker” hanno mantenuto un accesso persistente e di lungo periodo a specifici ambienti interni di F5, in particolare alla piattaforma di sviluppo del prodotto di punta BIG-IP e a un sistema di knowledge management ingegneristico. Attraverso questa breccia sono riusciti a esfiltrare dati sensibili, tra cui porzioni di codice sorgente di BIG-IP e informazioni su vulnerabilità software ancora non divulgate pubblicamente. In altri termini, i criminali informatici si sono impossessati della “mappa” dei punti deboli del software F5, prima ancora che l’azienda potesse correggerli. Gli esperti avvertono che questa combinazione, cioè codice sorgente e dettagli di falle non ancora corrette, è potenzialmente catastrofica, perché consente ai malintenzionati di sviluppare exploit mirati prima che le patch siano distribuite. F5 ha assicurato che finora non vi sono evidenze di exploit attivi né di manomissioni alla supply chain del software (come i processi di build o rilascio). Inoltre, l’azienda ha dichiarato di non aver riscontrato accessi ai sistemi critici interni (CRM, finanza, piattaforme di supporto) e che solo una piccola percentuale di clienti ha subito la sottrazione di alcuni file di configurazione, per cui è in corso una notifica diretta agli interessati.
Reazione immediata di F5 e allarme governativo
Appena scoperta l’intrusione, F5 ha attivato le procedure di risposta agli incidenti informatici: ha coinvolto importanti società di cybersecurity (tra cui CrowdStrike, Mandiant, NCC Group, IOActive) e ha adottato estese misure di contenimento per espellere gli intrusi. L’azienda ha lavorato a stretto contatto con le forze dell’ordine federali durante l’indagine, ottenendo il permesso di ritardare temporaneamente la divulgazione pubblica per non compromettere eventuali operazioni investigative. Contestualmente, F5 ha rilasciato aggiornamenti d’emergenza per i propri prodotti (BIG-IP, F5OS, BIG-IQ, ecc.) e ha incoraggiato tutti i clienti ad applicarli con urgenza, offrendo anche strumenti aggiuntivi di sicurezza come sensori EDR gratuiti su BIG-IP.
Le agenzie governative, dal canto loro, hanno reagito definendo la situazione una minaccia significativa. Negli Stati Uniti la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un’Emergency Directive ordinando a tutte le agenzie federali di identificare e aggiornare i dispositivi F5 entro scadenze ravvicinate (entro il 22 ottobre per molti sistemi). La CISA ha avvertito che le vulnerabilità di F5 avrebbero potuto consentire all’attaccante di muoversi lateralmente nelle reti e compromettere informazioni sensibili, con rischi potenzialmente catastrofici per i sistemi critici. Allerta analoga è arrivata dal National Cyber Security Centre (NCSC) britannico, che ha invitato tutte le organizzazioni ad aggiornare immediatamente le loro installazioni F5 e a verificare l’integrità dei sistemi. Questa risposta coordinata riflette la gravità percepita: la breccia F5 non è un incidente isolato, ma un caso da scuola di rischio sistemico, capace di mettere in crisi la fiducia nelle infrastrutture digitali transatlantiche.
Sovranità cibernetica e dipendenza tecnologica
L’episodio F5 riaccende il dibattito sulla sovranità cibernetica, intesa come capacità di uno Stato di preservare il controllo e la sicurezza del proprio spazio digitale. F5, con la sua suite BIG-IP, è un fornitore chiave di soluzioni di application delivery e sicurezza per grandi banche, multinazionali e persino enti governativi in tutto il mondo. I suoi dispositivi agiscono spesso come guardiani del traffico nelle reti, fungendo da punti di accesso nevralgici tra utenti e servizi digitali. Una compromissione del codice di F5 equivale quindi a indebolire un tassello fondamentale dell’ecosistema cibernetico occidentale, esponendo potenzialmente backdoor attraverso cui un avversario può penetrare in molteplici infrastrutture.
La vicenda sottolinea i rischi di una forte dipendenza tecnologica da pochi vendor globali. Se un singolo fornitore (per quanto affidabile) viene infiltrato da un attore ostile, le conseguenze si propagano a catena su tutti i soggetti che di quella tecnologia si fidano. Per i Paesi alleati, Italia inclusa, la lezione è duplice: da un lato investire nella diversificazione e sicurezza della supply chain digitale, dall’altro sviluppare capacità autonome (o quantomeno europee) in ambito cyber. In un’era di rivalità geostrategica sempre più giocata sul terreno tecnologico, garantire maggiore sovranità cibernetica significa ridurre l’esposizione a ricatti o vulnerabilità imposte dall’esterno. Ciò non implica un’autarchia digitale irrealistica, ma richiede strategie di resilienza e cooperazione internazionale (ad esempio standard di sicurezza condivisi, certificazioni, threat intelligence alleata) per assicurare che il “cuore software” delle nostre infrastrutture resti sotto controllo anche quando un gigante come F5 vacilla.
Il fattore Cina: spionaggio e rischio strategico
La violazione informatica F5, secondo più fonti, porta la firma di hacker legati alla Cina. Due persone informate sulle indagini hanno riferito ai media americani che l’attacco è attribuibile a un gruppo di cyber-spie sostenute dallo Stato cinese. Pechino ha respinto fermamente ogni addebito definendo “infondate” queste accuse e ribadendo la sua posizione ufficiale contraria ad attività di hacking. Dietro le quinte, tuttavia, gli investigatori ritengono probabile il coinvolgimento di un collettivo identificato come UNC5221, già noto agli analisti di Mandiant (Google) per operazioni di spionaggio di lunga durata. Questo gruppo, attivo almeno dal 2023, sarebbe specializzato nel penetrare fornitori tecnologici occidentali e rubarne codice sorgente e segreti industriali, che è esattamente il modus operandi visto in F5. Le campagne attribuite a UNC5221 impiegano persino un malware avanzato soprannominato Brickstorm, progettato per garantire accessi furtivi di lunghissimo periodo e facilitare il furto di proprietà intellettuale e vulnerabilità nascoste.
Se confermato, l’attacco a F5 rientra nella più ampia strategia di ciberspionaggio cinese, volta ad acquisire vantaggi competitivi e strategici attraverso incursioni nelle tecnologie altrui. Negli ultimi anni, hacker collegati a Pechino sono stati accusati di una serie di intrusioni mirate a fonti di innovazione occidentale (dalle università ai laboratori, fino a fornitori di software di uso diffuso), alimentando timori di una “campagna permanente” per colmare gap tecnologici e predisporre potenziali armi cibernetiche. In questo scenario, la “minaccia cinese” non è più solo teorica: si manifesta concretamente in operazioni sofisticate come quella subita da F5, capaci di minare la fiducia nel tessuto digitale globale. Per le democrazie occidentali ciò significa dover alzare il livello di guardia: investire in contromisure di cyber-intelligence, rafforzare le difese dei fornitori critici e forse ripensare la cooperazione tecnologica con Pechino alla luce di questi rischi. L’incursione nei sistemi F5, insomma, insegna che la competizione sino-americana si combatte anche nelle retrovie del codice e che la sicurezza cibernetica è ormai un pilastro imprescindibile della sicurezza nazionale ed economica.
Italiano 
English
Scrivi un commento