Kifinomult titkosítás és rejtőzködés
A Brickstorm többrétegű titkosítást alkalmaz, többek között HTTPS-t, WebSocketeket és egymásba ágyazott TLS-t, hogy védje a kommunikációs csatornákat. Ezen kívül képes DNS-over-HTTPS segítségével elrejteni magát, valamint a belső hálózati mozgásokat álcázni SOCKS-proxyval. A repertoár része az önjavító mechanizmus is: ha a kártevő működését megzavarják, automatikusan újraindul vagy újratelepül.
Magas szintű támadások és folyamatos jelenlét
2024 áprilisában kínai hackerek egy szervezet DMZ-webkiszolgálóját törték fel, majd innen továbblépve behatoltak a belső VMware vCenter-szerverre, ahol telepítették a Brickstormot. További két tartományvezérlőt is kompromittáltak, valamint ellopták a titkosítási kulcsokat egy Active Directory Federation Services-kiszolgálóról. A támadók 2024 áprilisától legalább 2025 szeptemberéig észrevétlenül hozzáfértek a rendszerekhez, közben aktívan adatokat, felhasználói adatbázisokat és érzékeny fájlokat loptak.
Védekezés megerősítése
A CISA minden szervezetet, különösen a kritikus infrastruktúrát működtetőket felszólít, hogy saját YARA- és Sigma-szabályokkal vizsgálják át rendszereiket a Brickstorm vagy más hasonló kártevők jelenlétére. Javasolt letiltani a jogosulatlan DNS-over-HTTPS-forgalmat, valamint szűrni a külső hálózati kapcsolatokat. Fontos a peremhálózati eszközök naprakész nyilvántartása, a gyanús forgalom figyelése és a hálózat szegmentálása is, hogy a támadók ne tudjanak könnyen továbblépni a DMZ-ből a belső hálózatokra.
Kínai hackerszervezetek nyomában
Egy másik jelentés szerint a CrowdStrike kiberbiztonsági cég azonosította, hogy 2025-ben amerikai jogi, technológiai és gyártóvállalatok VMware vCenter szervereit a kínai Warp Panda csoport támadta. Ugyanez a csoport ismeretlen, Junction és GuestConduit nevű kártevőket is bevetett. A Google biztonsági kutatói az UNC5221 néven ismert csoportot hozták összefüggésbe ezekkel a hosszú távú támadásokkal, amely korábban már más, nulladik napi sebezhetőségeket is kihasznált, hogy egyedi kártevőket juttasson amerikai hálózatokba.
