Backdoor Brickstorm: le spie cinesi sono rimasti silenti nelle reti critiche per anni

Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed esperti privati.

Secondo un avviso congiunto di CISA, NSA e Canadian Cyber Security Centre, almeno otto agenzie governative e aziende IT sono state vittime della backdoor Brickstorm , che opera in ambienti Linux, VMware e Windows.

La dichiarazione del portavoce di CISA, Nick Andersen, sottolinea anche la portata del problema: afferma che il numero effettivo delle vittime è probabilmente più alto e che Brickstorm stessa è una piattaforma “estremamente avanzata” che consente agli operatori cinesi di radicarsi nelle reti per anni, gettando le basi per il sabotaggio.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In uno degli incidenti indagati da CISA, gli aggressori hanno ottenuto l’accesso a una rete interna nell’aprile 2024, hanno scaricato Brickstorm su un server VMware vCenter e hanno mantenuto l’accesso almeno fino all’inizio di settembre.

Durante questo periodo, sono riusciti a penetrare nei controller di dominio e in un server ADFS, rubando chiavi crittografiche. Google Threat Intelligence, che è stata la prima a descrivere Brickstorm in autunno, esorta tutte le organizzazioni a scansionare la propria infrastruttura. Gli analisti stimano che decine di aziende negli Stati Uniti siano già state colpite da questa campagna e gli aggressori continuano a perfezionare i propri strumenti.

Mandiant collega gli attacchi al gruppo UNC5221 e ha documentato compromissioni in vari settori, dai servizi legali e dai fornitori SaaS alle aziende tecnologiche. Gli esperti sottolineano che l’hacking dei dispositivi edge e l’escalation verso vCenter sono diventate tattiche comuni per gli aggressori, che possono anche prendere di mira vittime a valle.

In un rapporto separato, CrowdStrike attribuisce Brickstorm al gruppo Warp Panda, attivo almeno dal 2022, e descrive vettori di attacco simili, tra cui l’infiltrazione negli ambienti VMware di aziende statunitensi e lo svolgimento di attività di intelligence per il governo cinese.

Secondo CrowdStrike, in diversi casi Warp Panda ha inoltre implementato impianti Go precedentemente sconosciuti, Junction e GuestConduit, su server ESXi e macchine virtuali, e ha preparato dati sensibili per l’esfiltrazione. Alcuni incidenti hanno interessato anche il cloud Microsoft Azure: gli aggressori hanno ottenuto token di sessione, hanno incanalato il traffico attraverso Brickstorm e hanno scaricato materiale sensibile da OneDrive, SharePoint ed Exchange. Sono persino riusciti a registrare nuovi dispositivi MFA, garantendo una persistenza furtiva e a lungo termine negli ambienti guest.

Gli specialisti di Palo Alto Networks confermano la continuità e la profondità della penetrazione di questi gruppi. Secondo gli analisti di Unit 42, gli operatori cinesi utilizzano file unici e backdoor proprietarie per ogni attacco, rendendone estremamente difficile l’individuazione.

La loro prolungata e occulta attività all’interno delle reti rende difficile valutare l’effettivo danno e consente agli aggressori di pianificare operazioni su larga scala molto prima che la loro presenza venga rilevata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.