Istraživači iz Google Threat Intelligence Grupe i Mandianta analizirali su najnoviju kinesku sajber špijunsku kampanju u kojoj su hakeri uspjeli da ostanu neotkriveni u kompromitovanim mrežama gotovo 400 dana kako bi prikupili vrijedne informacije.
Napadi su uključivali BrickStorm, prikriveni backdoor koji je kineska APT grupa UNC5221 koristila još 2023. godine u napadu na MITRE. Najnovija kampanja sa BrickStormom povezana je sa UNC5221, ali i sa drugim kineskim hakerima. Dok se UNC5221 često dovodi u vezu sa grupom Silk Typhoon, istraživači ne vjeruju da je riječ o istoj grupi.
Mandiant prati kampanju od marta 2025. godine, a mete su bile kompanije iz sektora pravnih usluga, SaaS industrije, tehnologije i BPO-a. U prosjeku, sajber špijuni su provodili 393 dana u ciljanim mrežama, što je u mnogim slučajevima otežalo otkrivanje početnog vektora napada. Ipak, u najmanje jednom slučaju napadači su, kako se vjeruje, iskoristili zero-day ranjivost u Ivanti proizvodu.
Hakeri su implementirali BrickStorm na raznim mrežnim uređajima, od kojih mnogi nisu kompatibilni sa tradicionalnim EDR rješenjima i drugim sigurnosnim alatima. Mandiant je primijetio prisustvo BrickStorma na Linux i BSD uređajima, dok izvještaji govore i o Windows verziji malvera, koju Mandiant još nije vidio u upotrebi.
„Iako je BRICKSTORM pronađen na mnogim tipovima uređaja, UNC5221 dosljedno cilja VMware vCenter i ESXi hostove. U više slučajeva, haker je instalirao BRICKSTORM na mrežni uređaj, a zatim se prebacivao na VMware sisteme“, naveli su istraživači. „Napadač se kretao lateralno ka vCenter serveru koristeći validne kredencijale, vjerovatno prikupljene malverom na mrežnim uređajima.“
Najnovija kampanja sa BrickStormom bila je usmjerena na visokovrijedne mete i nije se ograničavala samo na tradicionalnu sajber špijunažu. Kineski hakeri koristili su pristup kako bi se prebacili na klijente kompromitovanih SaaS provajdera, a Mandiant vjeruje da su dio ukradenih podataka koristili i za identifikaciju zero-day ranjivosti u korporativnim tehnologijama.
„U sklopu ove intruzivne kampanje, hakeri kradu vlasnički izvorni kod i drugu intelektualnu svojinu povezanu sa korporativnim tehnologijama koje koristi veliki broj kompanija“, objasnio je Charles Carmakal, CTO Mandiant Consultinga u Google Cloudu. „Vjerujemo da hakeri analiziraju ukradeni kod kako bi pronašli propuste i zero-day ranjivosti za eksploataciju.“
„Važno je razumjeti da postoje direktne žrtve, ali i organizacije nizvodno. Razvijanjem zero-day ranjivosti za ove korporativne proizvode, hakeri mogu dalje napadati kompanije koje koriste iste tehnologije“, dodao je Carmakal.
Izvor: SecurityWeek
