BRICKSTORM बैकडोर

एक संदिग्ध चीन-समर्थित साइबर जासूसी समूह अमेरिकी कानूनी सेवाओं, सॉफ्टवेयर-एज़-ए-सर्विस (SaaS), बिजनेस प्रोसेस आउटसोर्सिंग (BPO) और प्रौद्योगिकी क्षेत्रों की कंपनियों को निशाना बना रहा है। इसका उद्देश्य: ब्रिकस्टॉर्म नामक एक अत्यधिक सक्षम बैकडोर प्रदान करना है।

UNC5221 और उससे जुड़े ख़तरा समूहों के कारण, इन घुसपैठों का उद्देश्य पीड़ित नेटवर्क तक एक वर्ष से अधिक समय तक लगातार पहुँच बनाए रखना होता है, और अक्सर SaaS प्रदाताओं को निशाना बनाकर डाउनस्ट्रीम ग्राहक परिवेशों या उनकी ओर से होस्ट किए गए डेटा तक पहुँच बनाई जाती है। कानूनी और तकनीकी क्षेत्रों में, ये हमले बौद्धिक संपदा, राष्ट्रीय सुरक्षा से संबंधित ख़ुफ़िया जानकारी और अंतर्राष्ट्रीय व्यापार से संबंधित जानकारी की चोरी से प्रेरित प्रतीत होते हैं।

ब्रिकस्टॉर्म: वह पिछला दरवाज़ा जो छिपा रहता है

पिछले साल पहली बार देखा गया, ब्रिकस्टॉर्म इवान्टी कनेक्ट सिक्योर की ज़ीरो-डे भेद्यताओं (CVE-2023-46805 और CVE-2024-21887) के शोषण से जुड़ा था। यह कम से कम नवंबर 2022 से यूरोपीय विंडोज़ वातावरण में भी सक्रिय है।

गो भाषा में लिखे गए ब्रिकस्टॉर्म में निम्नलिखित क्षमताएं शामिल हैं:

• वेब सर्वर के रूप में कार्य करें.
• फ़ाइल सिस्टम और निर्देशिकाओं में हेरफेर करें.
• फ़ाइलें अपलोड/डाउनलोड करें और शेल कमांड निष्पादित करें।
• SOCKS प्रॉक्सी के रूप में कार्य करें।
• वेबसॉकेट के माध्यम से कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार करें।

इस मैलवेयर को इस तरह डिज़ाइन किया गया है कि इसका पता नहीं चल पाता, खासकर उन उपकरणों पर जिनमें पारंपरिक एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) कवरेज नहीं है। इसकी गुप्त संरचना हमलावरों को औसतन 393 दिनों तक बिना पकड़े रहने में सक्षम बनाती है।

चुपके और दृढ़ता के लिए उन्नत तकनीकें

खतरा पैदा करने वाले तत्व पार्श्व गति और दृढ़ता के लिए अत्यधिक परिष्कृत तकनीकों का उपयोग करते हैं:

शोषण और प्रारंभिक पहुँच : कम से कम एक हमले ने ब्रिकस्टॉर्म को तैनात करने के लिए इवान्टी कनेक्ट सिक्योर एज डिवाइस की कमजोरियों का लाभ उठाया। लिनक्स और बीएसडी-आधारित उपकरणों पर अन्य तैनाती का पता लगाना मुश्किल बना हुआ है क्योंकि सक्रियकर्ताओं ने गतिविधि के निशानों को सावधानीपूर्वक मिटा दिया है।

त्वरित मैलवेयर विकास : कुछ BRICKSTORM नमूनों में एक "विलंब" टाइमर शामिल होता है जो C2 सर्वरों के साथ संचार को महीनों तक के लिए स्थगित कर देता है। एक उदाहरण में, मैलवेयर को VMware vCenter सर्वर पर घटना प्रतिक्रिया शुरू होने के बाद तैनात किया गया था, जो परिचालन चपलता को दर्शाता है।

ब्रिकस्टील के ज़रिए विशेषाधिकार वृद्धि : अपाचे टॉमकैट पर एक दुर्भावनापूर्ण जावा सर्वलेट फ़िल्टर का इस्तेमाल vCenter क्रेडेंशियल्स को कैप्चर करने के लिए किया गया था। इसके बाद हमलावरों ने डोमेन कंट्रोलर, SSO आइडेंटिटी प्रोवाइडर और सीक्रेट वॉल्ट जैसे महत्वपूर्ण सिस्टम के लिए विंडोज सर्वर VMs का क्लोन बनाया।

इन-मेमोरी संशोधन : कस्टम ड्रॉपर का उपयोग करके, हमलावरों ने कॉन्फ़िगरेशन परिवर्तनों को पूरी तरह से मेमोरी में लागू किया, जिससे एप्लिकेशन को पुनः आरंभ करने और पता लगाने से बचा जा सका।

दृढ़ता विधियां : init.d, rc.local, या systemd फाइलों में संशोधन, साथ ही SLAYSTYLE (उर्फ BEEFLUSH) जैसे JSP वेब शेल की तैनाती, यह सुनिश्चित करती है कि BRICKSTORM स्वचालित रूप से उपकरण रिबूट पर पुनः आरंभ हो जाए और मनमाने OS कमांड को निष्पादित करे।

रणनीतिक उद्देश्य और प्रभाव

इस अभियान का मुख्य लक्ष्य लक्षित डेटा एक्सफ़िल्ट्रेशन है, जो डेवलपर्स, सिस्टम एडमिनिस्ट्रेटर और चीन के आर्थिक और जासूसी हितों से जुड़े संवेदनशील क्षेत्रों में शामिल कर्मियों के ईमेल और खातों पर केंद्रित है। SOCKS प्रॉक्सी क्षमता का उपयोग करके, हमलावर रुचि के अनुप्रयोगों में सुरंग बना सकते हैं और डाउनस्ट्रीम SaaS ग्राहकों पर ध्यान केंद्रित कर सकते हैं या भविष्य के अभियानों के लिए शून्य-दिन की कमजोरियों की पहचान कर सकते हैं।

ब्रिकस्टॉर्म अभियान एक अत्यधिक परिष्कृत खतरा है, जो उन्नत उद्यम सुरक्षा को दरकिनार करने तथा उच्च मूल्य वाले लक्ष्यों पर ध्यान केंद्रित करने में सक्षम है।