CISA, NSA и канадският кибер център предупреждават за сложен backdoor, свързан с АТР от Китай, който застрашава VMware vSphere и Windows среди.

Какво е Brickstorm

Brickstorm е ELF Go-базиран backdoor, създаден за тих и устойчив достъп до системи. Проучените образци показват:

• Поддържат инициация, постоянство и криптиран команден канал (C2).

• Основната цел са VMware vSphere среди, включително vCenter сървъри, но съществуват и версии за Windows.

• Осигурява интерактивен shell, позволява преглед, модификация и преместване на файлове.

• Някои версии включват SOCKS proxy, който позволява странично движение в мрежата и достигане до други системи.

Brickstorm използва многопластова криптография (HTTPS, WebSockets, TLS) и DNS-over-HTTPS, имитира легитимен трафик, за да се скрие от мониторинг.

Механизъм на работа и устойчивост

• Backdoor проверява дали работи в очакваната среда и при необходимост само се преинсталира или рестартира, за да запази активността.

• Настройва системни променливи и PATH, за да гарантира, че правилната версия стартира първо.

• Използва самонаблюдение, за да се увери, че процесът не е прекъснат и при нужда се възстановява от предварително зададена директория.

Тази функционалност осигурява дългосрочен достъп, което позволява на операторите да извършват кражба на данни, създаване на скрити VM машини и странично придвижване.

Цели и засегнати отрасли

Brickstorm засяга предимно:

• Правителствени услуги и обекти

• ИТ сектора

След като получат достъп, атакуващите използват легитимни креденшъли, копират VMware snapshots и открадват информация от Active Directory.

Препоръки за защита и реагиране

CISA, NSA и канадският кибер център препоръчват:

1. Идентифициране и мониторинг

   • Сканиране с YARA и SIGMA правила, предоставени в съвместния анализ.

   • Проверка на необичайни връзки от крайни устройства.

   • Следене на аномалии в RDP, SMB и DMZ трафик.

2. Постоянна устойчивост

   • Ограничаване на достъп до системи по принципа на least privilege.

   • Изключване на RDP и SMB между зоните.

   • Прилагане на стриктна мрежова сегментация.

3. Хардуер и софтуер

   • Актуализиране на VMware vSphere сървъри и прилагане на hardening препоръки от VMware.

   • Поддържане на точен инвентар на всички мрежови устройства.

   • Блокиране на неоторизирани DNS-over-HTTPS доставчици.

4. Докладване и координация

   • Незабавно докладване на инциденти на CISA.

   • Следване на Cybersecurity Performance Goals (CPGs) за критичната инфраструктура.

Brickstorm представлява високотехнологична държавно-спонсорирана заплаха, която използва усъвършенствани техники за скриване, странично придвижване и устойчивост. Операторите на критична инфраструктура трябва:

• да извършат незабавна оценка на средите,

• да приложат препоръчаните миграции и мерки за защита,

• и да поддържат постоянен мониторинг за аномалии.

Както посочват от CISA: “Киберзащитата е национална сигурност – и започва с действие.”