Când discutăm despre campanii cibernetice extinse pe luni de zile, apare un nume relativ nou: Brickstorm. Acest backdoor dezvoltat în Go a fost utilizat în operațiuni de spionaj de durată împotriva unor organizații din SUA din sectoarele tehnologie și juridic, iar tehnicile folosite amintesc de practici vechi ale grupurilor care vizează infrastructuri critice și furnizori de servicii.
Cercetători din Google Threat Intelligence Group au descris Brickstorm în aprilie 2024, în urma investigațiilor unor intruziuni legate de China. Malware-ul a rămas, în medie, neobservat în rețelele victimelor timp de 393 de zile, evidențiind cât de eficient poate fi un instrument creat pentru persistență pe echipamentele de la marginea rețelei. Brickstorm nu era doar un simplu backdoor: funcționa ca server web, manager de fișiere, dropper, relay SOCKS și executor de comenzi shell, practic un set complet de unelte pentru cineva care urmărește acces pe termen lung și exfiltrare discretă de date.
Victimele confirmate includ firme juridice, furnizori SaaS și companii de outsourcing de procese biznes. Compromiterea acestor entități poate servi drept platformă de lansare: acces la cod sursă, credențiale și conexiuni către clienți mai puțin protejați. Google subliniază că asta oferă atacatorilor oportunitatea de a crea exploit-uri noi și de a extinde atacurile în lanțul de aprovizionare, afectând victime secundare care pot să nu utilizeze soluții EDR.
Analiza atribuie operațiunile clusterului UNC5221, recunoscut pentru exploatarea unor vulnerabilități zero-day Ivanti și pentru folosirea unor malware-uri customizate precum Spawnant și Zipline. Datorită persistenței îndelungate și a scripturilor anti-forensic folosite de grup, investigatorii nu au reușit să determine cu certitudine vectorul inițial de acces, dar consideră că exploatarea zero-day pe dispozitive edge joacă un rol central. Acolo unde EDR nu poate fi instalat, de exemplu pe anumite appliance VMware vCenter/ESXi, Brickstorm poate rula și comunica cu serverele de comandă și control, mascând traficul ca provenind de la Cloudflare, Heroku sau alte servicii legitime.
După instalare, atacatorii au încercat escaladarea privilegiilor folosind un Java Servlet Filter malițios numit Bricksteal pe vCenter pentru a captura credențiale și au clonat VM-uri Windows Server pentru a extrage secrete. Credențialele furate sunt apoi folosite pentru mișcări laterale și pentru a instala mecanisme de persistență: activarea SSH pe ESXi sau modificări ale scripturilor de pornire init.d și systemd. Obiectivul principal pare a fi exfiltrarea de e-mailuri prin aplicații enterprise Microsoft Entra ID, folosind proxy-ul SOCKS pentru a realiza tunelări către sisteme interne și depozite de cod, menținând un nivel ridicat de stealth.
Observațiile Google indică faptul că UNC5221 țintește în special dezvoltatori, administratori și persoane cu legături economice sau de securitate de interes pentru China. La finalizarea operațiunii, malware-ul este șters pentru a complica investigațiile forensice. În plus, grupul își schimbă frecvent domeniile C2 și variantele de malware, astfel încât ștergerea urmelor devine mai dificilă.
Pentru a sprijini apărarea, Mandiant a pus la dispoziție gratuit un script scanner care implementează o regulă YARA pentru Brickstorm, destinat sistemelor Linux și BSD. Raportul conține și reguli YARA pentru Bricksteal și Slaystyle. Mandiant avertizează, totuși, că scannerul nu identifică toate variantele Brickstorm, nu garantează detectarea unei compromisii 100% și nu verifică mecanismele de persistență sau vulnerabilitățile dispozitivelor.
Raportul mai evidențiază o tendință îngrijorătoare în mediile testate: 46% dintre ele aveau parole compromise, aproape dublu față de 25% anul precedent. Aceasta readuce în prim-plan importanța gestionării credențialelor, segmentării rețelei, monitorizării traficului care mimează servicii legitime și acoperirii dispozitivelor edge care nu acceptă EDR tradițional.
Mandiant oferă instrumente practice, iar Google detaliază tehnicile UNC5221; denumiri precum Brickstorm, Bricksteal și Slaystyle apar în raport. Dacă gestionarea credențialelor și protecția appliance-urilor vCenter/ESXi sunt deficitare, riscul de exfiltrare prin proxy SOCKS și tunelări către depozite de cod rămâne real. Administratorii vCenter ar trebui să verifice scripturile de pornire, să monitorizeze activitățile Java Servlet și să auditeze clonările de VM pentru semne de exfiltrare.
Brickstorm scoate în relief modul în care atacatorii exploatează lacunele din infrastructura periferică și dependența companiilor de servicii terțe. Instrumentele gratuite oferite de cercetători pot ajuta la detecție, dar protecția reală necesită actualizări rapide, control strict al accesului și supraveghere specializată a dispozitivelor neacoperite de soluții EDR. După cum arată exemplul UNC5221, atunci când atacatorii vizează creatori de software sau administratori, impactul poate atinge numeroși clienți și parteneri.
Google Threat Intelligence Group și Mandiant furnizează date și unelte concrete: reguli YARA pentru Bricksteal și Slaystyle, un scanner pentru Brickstorm și cifra timpului mediu de persistență de 393 de zile. Aceste resurse ar trebui folosite pentru verificări specifice pe vCenter/ESXi, audit al Entra ID Enterprise Apps și monitorizare a traficului care imită servicii precum Cloudflare sau Heroku. Care crezi că ar fi cel mai eficient pas pe care echipa ta îl poate face mâine pentru a începe să reducă riscul Brickstorm?
Fii primul care comentează