به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیتی ماندیانت (Mandiant) که به گوگل وابسته است، اعلام کرد که از مارس ۲۰۲۵ تاکنون موارد متعددی از این حملات را بررسی کرده است.
قربانیان شامل شرکتهای فناوری، ارائهدهندگان خدمات نرمافزاری (SaaS) و مؤسسات حقوقی بودهاند.
هدف اصلی این کارزار، سرقت مالکیت فکری ارزشمند و دادههای حساس، بهویژه دسترسی به ایمیل مدیران ارشد شرکتها عنوان شده است.
چارلز کارماکال، مدیر فنی ماندیانت، این حملات را به گروه UNC5221 نسبت داد؛ گروهی که پیشتر به سوءاستفاده از آسیبپذیری محصولات شرکت ایوانتی (Ivanti) متهم شده بود.
او عنوان کرد که این گروه با دسترسی به ارائهدهندگان خدمات نرمافزاری، میتواند مشتریان پاییندستی را هدف قرار دهد یا آسیبپذیریهای روز صفر را کشف کند.
بریک استورم (BRICKSTORM) عمدتاً روی دستگاههای مبتنی بر لینوکس شناسایی شده و معمولاً در تجهیزاتی قرار میگیرد که فاقد سامانههای پایش امنیتی یا موجودی دقیق هستند.
این بدافزار بهویژه روی سرورهای وی ام ویر وی سنتر (VMware vCenter) و ESXi مشاهده شده است.
در برخی موارد، هکرها پس از سرقت گذرواژهها از طریق بدافزارهای دیگر، توانستهاند به سرورهای مرکزی منتقل شوند.
حتی در یک نمونه، بریک استورم پس از آغاز عملیات پاسخگویی به حادثه درون سازمان قربانی نصب شد که نشان از توانایی مهاجمان در نظارت و تغییر سریع تاکتیکها دارد.
ماندیانت شواهدی از دسترسی هکرها به ابزارهایی برای استخراج و رمزگشایی خودکار گذرواژههای مدیران سرور به دست آورده است.
همچنین شبکهای از روترهای خانگی و اداری آلوده برای پنهانسازی ارتباطات بهکار رفته، هرچند نحوه آلوده شدن این روترها مشخص نیست.
محققان میگویند که این حملات فراتر از جاسوسی سنتی بوده و دادههای بهدستآمده میتواند برای توسعه آسیبپذیریهای روز صفر و ایجاد نقاط نفوذ گستردهتر استفاده شود.
تمرکز بر ایمیل توسعهدهندگان، مدیران سیستم و افرادی که در موضوعات مرتبط با منافع اقتصادی و امنیتی چین دخیلاند، نشان میدهد که کارزار بریک استورم بخشی از یک استراتژی بلندمدت برای سرقت دادههای راهبردی است.
مقامهای آمریکایی بارها شبکههای رباتی ساختهشده از روترهای خانگی آلوده توسط چین را منهدم کردهاند، اما این حملات جدید نشان میدهد تهدید همچنان پابرجاست.
