Brickstorm: kifinomult kémprogram tarolt az USA-ban
A hatóságok szerint legalább nyolc amerikai kormányzati és informatikai szervezet vált a kínai eredetű, Brickstorm nevű hátsóajtó áldozatává. Szakértők szerint azonban valószínűleg sokkal több szervezetet fertőzhettek meg, csak a hatóságokhoz még nem érkezett mindenhol bejelentés vagy bizonyíték. A Brickstorm Linux, VMware és Windows környezetekben egyaránt képes működni, vagyis széles körben terjedhetett.
A támadók nem csupán betörnek a rendszerekbe, hanem hosszú távon berendezkednek: lopakodva hozzáférnek érzékeny információkhoz, hátsóajtót telepítenek, és gondosan elrejtik jelenlétüket. Egy vizsgált esetben például 2024 áprilisában telepítették a kémprogramot egy szervezet VMware-szerverére, és zavartalanul tevékenykedtek ott legalább szeptember elejéig. Ezalatt kriptográfiai kulcsokat is elloptak az Active Directory-szerverekhez való hozzáféréssel.
Tömeges fertőzések amerikai vállalatoknál
A kiberbiztonsági cégek szerint tucatnyi amerikai szervezetet ért támadás, de az úgynevezett közvetett áldozatokkal együtt a szám még magasabb lehet. Egyes elemzők kiemelték, hogy a célpontok között jogi szolgáltatók, felhőszolgáltatók, informatikai beszállítók és technológiai vállalatok is szerepelnek – vagyis tipikusan olyan szervezetek, amelyek továbbvezethetik a támadókat újabb rendszerekhez.
A támadók gyakran a hálózat peremén lévő, internetre nyitott eszközök sebezhetőségét használták ki, onnan pedig továbbjutottak a szervezetek érzékeny rendszereire. Egyes esetekben például az áldozatok Microsoft Azure felhőalapú környezetébe is behatoltak, hogy onnan Microsoft 365-, OneDrive- vagy SharePoint-fájlokat töltsenek le. Több esetben MFA-eszközök regisztrálásával is tartós jelenlétet alakítottak ki.
Fejlesztések és új támadási módszerek
A kínai támadók folyamatosan fejlesztik a Brickstorm kártevőt, emellett Go nyelven írt új káros programokat is használnak ESXi-hosztokon és virtuális gépeken. Egyes beszámolók szerint az elkövetők kiberbiztonsági blogokat és kínai GitHub-oldalakat böngésztek információszerzés céljából, sőt, olyan e‑mail-fiókokba is bejutottak, ahol Kína számára releváns témák jelenhettek meg.
Az MI-alapú fenyegetéskutató cégek szerint az ilyen, állami támogatású támadók kivételesen nehezen azonosíthatók, mivel minden behatolásnál egyedi hátsóajtót telepítenek, amely nem mutat átfedést más áldozatoknál talált programokkal. Ez a stratégia megnehezíti a felderítést és a védekezést.
Növekvő fenyegetés, lassú reagálás
A támadók gyakran hónapokig, néha évekig észrevétlenek tudnak maradni az áldozatok rendszereiben, és csak későn derül ki, mekkora károkat okozhattak. A biztonsági szakértők ezért hangsúlyozzák: az érintett szervezeteknek érdemes futtatniuk a Google Mandiant által elérhető nyílt forráskódú vizsgálóeszközt, hogy kiszűrjék a Brickstorm jelenlétét.
A vizsgálatok szerint a helyzet súlyos: a támadók átgondolt stratégiával dolgoznak, és az áldozatok között folyamatosan igyekeznek újabb réseket találni. A támadások azt is jól mutatják, hogy a kritikus infrastruktúrák védelme minden eddiginél nagyobb kihívás elé került.
