En ny fellesrapport fra USAs NSA og CISA samt Canadian Centre for Cyber Security advarer om at statlige kinesiske aktører har brukt et avansert bakdørsverktøy, BRICKSTORM, for å oppnå langvarig og skjult tilgang i nettverk hos offentlige og private virksomheter.
Ifølge rapporten har aktørene, som vurderes å være statssponset fra Kina, infiltrert systemer i både offentlig sektor og IT-sektoren.
Kinesiske aktører med flere års vedvarende tilgang
De skal ha brukt BRICKSTORM til å etablere en robust og skjult tilgang som varte fra minst april 2024 til september 2025 i ett av de analyserte tilfellene.
Angrepet startet via et kompromittert webskall på en server i organisasjonens DMZ, før hackerne beveget seg videre internt ved hjelp av gyldige tjenestekontoer. De kopierte blant annet Active Directory-databaser og skaffet seg tilganger til domene-kontrollere, jump-servere og en ADFS-server der kryptografiske nøkler ble eksfiltrert.
Våpenet: BRICKSTORM – spesiallaget bakdør for VMware-miljøer
BRICKSTORM er en Go-basert bakdør designet for VMware vSphere-miljøer, men det finnes også Windows-varianter.
Verktøyet gir angriperen mulighet til å:
- etablere vedvarende tilgang gjennom manipulasjon av init-filer og PATH-variabler
- skjule aktivitet via omfattende kryptering, deriblant HTTPS, WebSockets, nested TLS og DNS-over-HTTPS
- kontrollere kompromitterte systemer med interaktivt skall, filhåndtering og filmanipulasjon
- sette opp en SOCKS-proxy for å lette lateral bevegelse i nettverket
- opprette eller skjule virtuelle maskiner i VMware-miljøer og hente ut VM-snapshots for passorduthenting og videre kompromittering
Mange av prøvene brukte XOR-basert strengenkryptering for å skjule serveradresser og andre nøkkeldata
Hvordan angrepet spredte seg i nettverkene
Rapporten beskriver en detaljert kjede av handlinger i et virkelig angrep der aktørene:
Les også: Google: Slik infiltrerer Kina USAs kritiske infrastruktur
- Fikk innledende tilgang til webserver med webskall.
- Flyttet seg til DMZ-domenecontroller via RDP og gyldige kontoer.
- Kopierte AD-databaser og hentet tjenestekontokredentialer.
- Beveget seg videre inn i det interne nettverket.
- Tok kontroll over vCenter-servere, hvor BRICKSTORM ble installert i /etc/sysconfig/ og koblet til oppstartssystemet.
- Eksfiltrerte nøkler og data fra ADFS-server og andre interne systemer.
Oppdagelse og indikatorer
Rapporten inkluderer:
- indikatorer på kompromittering (IOCs)
- Sigma-regler og YARA-regler
- tekniske metadata for å identifisere åtte analyserte prøver av BRICKSTORM
Flere tredjepartsverktøy, som Mandiant-deteksjonsregler og Crowdstike-skript, refereres for ytterligere analyse.
Anbefalte tiltak
Myndighetene anbefaler at organisasjoner:
- oppgraderer VMware-miljøer til nyeste versjon
- følger offisiell hardening-veiledning for vSphere
- styrker nettverkssegmentering, særlig mellom DMZ og interne tjenester
- begrenser bruken av tjenestekontoer og innfører streng overvåkning
- blokkerer uautoriserte DoH-leverandører for å redusere skjult trafikk
- rapporterer funn omgående til nasjonale responsteam
Betydelig trussel mot kritisk infrastruktur
Rapporten understreker at målsettingen bak angrepene er å etablere langsiktig kontroll og overvåkning i nettverk som tilhører kritiske samfunnsfunksjoner.
De involverte etatene oppfordrer organisasjoner – særlig innen offentlig sektor og IT-drift – til å gjennomgå loggene sine og aktivt lete etter tegn på BRICKSTORM.
