BRICKSTORM-takaovi

Epäilty Kiina-liittolainen kybervakoiluryhmä on kohdistanut iskujaan yhdysvaltalaisiin lakipalvelu-, SaaS- (Software as a Service), BPO- (Business Process Outsourcing) ja teknologiayrityksiin. Tavoitteena on toimittaa erittäin tehokas BRICKSTORM-niminen takaportti.

Nämä UNC5221-uhkahankkeeseen ja siihen läheisesti liittyviin uhkaryppäisiin liittyvät tunkeutumiset pyrkivät ylläpitämään jatkuvaa pääsyä uhriverkkoihin yli vuoden ajan. Usein hyökkäykset kohdistuvat SaaS-palveluntarjoajiin, jotta päästään käsiksi asiakasympäristöihin tai heidän puolestaan isännöityihin tietoihin. Oikeus- ja teknologiasektoreilla hyökkäysten motiivina näyttää olevan immateriaalioikeuksien, kansalliseen turvallisuuteen liittyvien tiedustelutietojen ja kansainväliseen kauppaan liittyvien tietojen varastaminen.

BRICKSTORM: Takaovi, joka pysyy piilossa

BRICKSTORM havaittiin ensimmäisen kerran viime vuonna, ja se yhdistettiin Ivanti Connect Securen nollapäivähaavoittuvuuksien (CVE-2023-46805 ja CVE-2024-21887) hyödyntämiseen. Se on ollut aktiivinen myös eurooppalaisissa Windows-ympäristöissä ainakin marraskuusta 2022 lähtien.

Go-kielellä kirjoitettu BRICKSTORM sisältää seuraavat ominaisuudet:

• Toimii web-palvelimena.
• Tiedostojärjestelmien ja hakemistojen manipulointi.
• Lähetä/lataa tiedostoja ja suorita komentotulkkikomentoja.
• Toimii SOCKS-välityspalvelimena.
• Kommunikoi komento- ja ohjauspalvelimen (C2) kanssa WebSocketsin kautta.

Haittaohjelma on suunniteltu välttymään havaitsemiselta, erityisesti laitteissa, joissa ei ole perinteistä päätepisteiden havaitsemis- ja reagointijärjestelmää (EDR). Sen huomaamaton arkkitehtuuri mahdollistaa hyökkääjien pysymisen havaitsemattomina keskimäärin 393 päivää.

Edistyneet tekniikat hiiviskelyyn ja pysyvyyteen

Uhkatoimijat käyttävät erittäin kehittyneitä tekniikoita sivuttaiseen liikkumiseen ja pysyvyyteen:

Hyökkäys ja alustava käyttö : Ainakin yhdessä hyökkäyksessä hyödynnettiin Ivanti Connect Securen reunalaitteiden haavoittuvuuksia BRICKSTORMin käyttöönottoon. Muita Linux- ja BSD-pohjaisissa laitteissa tehtyjä käyttöönottoja on edelleen vaikea jäljittää, koska toimijat poistavat huolellisesti toimintajäljet.

Ketterä haittaohjelmien kehitys : Joissakin BRICKSTORM-näytteissä on viiveajastin, joka lykkää tiedonsiirtoa C2-palvelimien kanssa kuukausilla. Yhdessä tapauksessa haittaohjelma otettiin käyttöön VMware vCenter -palvelimella sen jälkeen, kun tapaukseen reagointi oli aloitettu, mikä osoittaa operatiivista ketteryyttä.

Oikeuksien eskalointi BRICKSTEALin kautta : Apache Tomcatissa käytettyä haitallista Java Servlet -suodatinta käytettiin vCenter-tunnistetietojen kaappaamiseen. Hyökkääjät kloonasivat sitten Windows Server -virtuaalikoneita kriittisille järjestelmille, kuten toimialueen ohjaimille, kertakirjautumistunnistuspalveluntarjoajille ja salaisille holveille.

Muistin sisäiset muutokset : Käyttämällä mukautettua dropperia hyökkääjät sovelsivat määritysmuutoksia kokonaan muistissa, välttäen sovelluksen uudelleenkäynnistyksen ja havaitsemisen.

Pysyvyysmenetelmät : Init.d-, rc.local- tai systemd-tiedostojen muutokset sekä JSP-verkkokuorien, kuten SLAYSTYLEn (eli BEEFLUSHin), käyttöönotto varmistavat, että BRICKSTORM käynnistyy automaattisesti uudelleen laitteen uudelleenkäynnistyksen yhteydessä ja suorittaa mielivaltaisia käyttöjärjestelmäkomentoja.

Strategiset tavoitteet ja vaikutus

Tämän kampanjan ensisijainen tavoite on kohdennettu tiedonsiirto, joka keskittyy kehittäjien, järjestelmänvalvojien ja Kiinan taloudellisten ja vakoiluintressien kanssa yhdenmukaisesti toimivien arkaluonteisten alueiden henkilöstön sähköposteihin ja tileihin. SOCKS-välityspalvelimen avulla hyökkääjät voivat tunneloida kiinnostaviin sovelluksiin ja ohjata ne SaaS-asiakkaille tai tunnistaa nollapäivähaavoittuvuuksia tulevia kampanjoita varten.

BRICKSTORM-kampanja edustaa erittäin hienostunutta uhkaa, joka pystyy ohittamaan edistyneet yrityspuolustukset ja keskittymään arvokkaisiin kohteisiin.