- 22,618
- 46
- 8 Ноя 2022
Китайские кибершпионы годами скрытно сидели в критических сетях, используя новый опасный бэкдор Brickstorm.
Китайские кибершпионы годами незаметно сидели в сетях критически важных организаций, заражали инфраструктуру сложным вредоносным ПО и воровали данные, предупреждают госагентства и частные эксперты. По данным совместного уведомления CISA, АНБ и Канадского центра кибербезопасности, по меньшей мере 8 госструктур и ИТ-компаний стали жертвами бэкдора Brickstorm, работающего в Linux-, VMware- и Windows-средах. О масштабе проблемы говорит и заявление представителя CISA Ника Андерсена: по его словам, реальных пострадавших наверняка больше, а сам Brickstorm — «исключительно продвинутая» платформа, позволяющая операторам КНР закрепляться в сетях годами, готовя почву для саботажа.
В одном из эпизодов, которые расследовала CISA, злоумышленники получили доступ к внутренней сети в апреле 2024 года, загрузили Brickstorm на сервер VMware vCenter и удерживали доступ как минимум до начала сентября. За это время им удалось проникнуть к контроллерам домена и серверу ADFS, похитив криптографические ключи. Google Threat Intelligence, первой описавшая Brickstorm осенью, призывает все организации до запуска сканировать инфраструктуру. По оценке аналитиков, десятки компаний в США уже пострадали от этой кампании, и злоумышленники продолжают совершенствовать инструменты.
Mandiant связывает атаки с группировкой UNC5221 и фиксирует компрометации в разных секторах: от юридических услуг и SaaS-провайдеров до технологических компаний. Специалисты отмечают, что взлом пограничных устройств и переходы к vCenter стали типичной тактикой злоумышленников, нацеленных в том числе на downstream-жертв. CrowdStrike в отдельном отчёте приписывает Brickstorm группе Warp Panda, активной как минимум с 2022 года, и описывает аналогичные векторы атаки, включая проникновение в среды VMware у компаний из США и разведывательную активность в интересах правительства КНР.
По данным CrowdStrike, в ряде случаев Warp Panda дополнительно разворачивала на серверах ESXi и виртуальных машинах ранее неизвестные Go-импланты Junction и GuestConduit, а также готовила к вывозу чувствительные данные. Отдельные инциденты затронули и облако Microsoft Azure: злоумышленники получали токены сессий, туннелировали трафик через Brickstorm и загружали конфиденциальные материалы из OneDrive, SharePoint и Exchange. Им удавалось даже регистрировать новые MFA-устройства, обеспечивая скрытую долговременную стойкость в гостевых средах.
Специалисты Palo Alto Networks подтверждают непрерывность и глубину проникновения этих группировок. По словам аналитиков Unit 42, китайские операторы используют уникальные файлы и собственные бэкдоры для каждого взлома, что делает обнаружение чрезвычайно сложным. Продолжительная скрытная работа в сетях затрудняет оценку реального ущерба и позволяет злоумышленникам планировать крупные операции задолго до того, как их присутствие будет обнаружено.
Китайские кибершпионы годами незаметно сидели в сетях критически важных организаций, заражали инфраструктуру сложным вредоносным ПО и воровали данные, предупреждают госагентства и частные эксперты. По данным совместного уведомления CISA, АНБ и Канадского центра кибербезопасности, по меньшей мере 8 госструктур и ИТ-компаний стали жертвами бэкдора Brickstorm, работающего в Linux-, VMware- и Windows-средах. О масштабе проблемы говорит и заявление представителя CISA Ника Андерсена: по его словам, реальных пострадавших наверняка больше, а сам Brickstorm — «исключительно продвинутая» платформа, позволяющая операторам КНР закрепляться в сетях годами, готовя почву для саботажа.
В одном из эпизодов, которые расследовала CISA, злоумышленники получили доступ к внутренней сети в апреле 2024 года, загрузили Brickstorm на сервер VMware vCenter и удерживали доступ как минимум до начала сентября. За это время им удалось проникнуть к контроллерам домена и серверу ADFS, похитив криптографические ключи. Google Threat Intelligence, первой описавшая Brickstorm осенью, призывает все организации до запуска сканировать инфраструктуру. По оценке аналитиков, десятки компаний в США уже пострадали от этой кампании, и злоумышленники продолжают совершенствовать инструменты.
Mandiant связывает атаки с группировкой UNC5221 и фиксирует компрометации в разных секторах: от юридических услуг и SaaS-провайдеров до технологических компаний. Специалисты отмечают, что взлом пограничных устройств и переходы к vCenter стали типичной тактикой злоумышленников, нацеленных в том числе на downstream-жертв. CrowdStrike в отдельном отчёте приписывает Brickstorm группе Warp Panda, активной как минимум с 2022 года, и описывает аналогичные векторы атаки, включая проникновение в среды VMware у компаний из США и разведывательную активность в интересах правительства КНР.
По данным CrowdStrike, в ряде случаев Warp Panda дополнительно разворачивала на серверах ESXi и виртуальных машинах ранее неизвестные Go-импланты Junction и GuestConduit, а также готовила к вывозу чувствительные данные. Отдельные инциденты затронули и облако Microsoft Azure: злоумышленники получали токены сессий, туннелировали трафик через Brickstorm и загружали конфиденциальные материалы из OneDrive, SharePoint и Exchange. Им удавалось даже регистрировать новые MFA-устройства, обеспечивая скрытую долговременную стойкость в гостевых средах.
Специалисты Palo Alto Networks подтверждают непрерывность и глубину проникновения этих группировок. По словам аналитиков Unit 42, китайские операторы используют уникальные файлы и собственные бэкдоры для каждого взлома, что делает обнаружение чрезвычайно сложным. Продолжительная скрытная работа в сетях затрудняет оценку реального ущерба и позволяет злоумышленникам планировать крупные операции задолго до того, как их присутствие будет обнаружено.
- Источник новости
- www.securitylab.ru
