به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مقامهای امنیت سایبری آمریکا و کانادا اعلام کردند هکرهای دولتی چین از بدافزار پیچیدهای به نام بریک استورم (BRICKSTORM) برای حمله به دولتها و سازمانهای فناوری اطلاعات در چند کشور استفاده میکنند.
این هشدار پس از انتشار یک گزارش مشترک از سوی آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA) و مرکز امنیت سایبری کانادا منتشر شد که بر اساس تحلیل هشت نمونه از این بدافزار تهیه شده است.
مقامهای آژانس امنیت سایبری و امنیت زیرساخت از پاسخ به این سؤال که آیا نهادهای فدرال آمریکا نیز آلوده شدهاند خودداری کردند، اما در گزارش تأکید شده است که هدف اصلی، بخشهای دولتی و فناوری اطلاعات هستند.
شرکت کراود استرایک (CrowdStrike) نیز اعلام کرد که مهاجمان از یکی از شبکههای آلوده برای انجام عملیات شناسایی اولیه علیه یک دولت منطقه آسیا–اقیانوسیه استفاده کردهاند.
بریک استورم یک درِ پشتی مخفی و بسیار پیشرفته است که به گفته «نیک اندرسن» از آژانس امنیت سایبری و امنیت زیرساخت، به عوامل دولتی چین امکان میدهد دسترسی پنهان و طولانیمدت ایجاد کنند.
این بدافزار پس از نفوذ، روی سیستمهای وی ام ویر وی اسفیر (VMware vSphere) و ویندوز نصب میشود، اعتبارنامهها را استخراج میکند و ماشینهای مجازی مخفی برای حفظ دسترسی ایجاد میکند.
در یکی از موارد بررسیشده، مهاجمان در آوریل ۲۰۲۴ به شبکه داخلی یک سازمان دسترسی یافته و بدافزار را روی سرور وی ام ویر وی سنتر (VMware vCenter) بارگذاری کرده بودند.
آنها علاوه بر این، دو کنترلر دامنه و یک سرور ADFS را نیز تصرف کرده و کلیدهای رمزنگاری آن را استخراج کرده بودند.
بریک استورم قابلیتهای گستردهای دارد، از جمله مرور و دستکاری فایلها، حرکت جانبی بین سیستمها و یک مکانیسم «خوداحیا» که در صورت حذف یا توقف، خود را دوباره نصب میکند.
کراود استرایک و ماندیانت هشدار دادهاند که این حملات با هدف جمعآوری اطلاعات و سرقت دادههای حساس، بهویژه ایمیل مدیران ارشد، توسعهدهندگان و افرادی که در پروژههای مرتبط با منافع اقتصادی و جاسوسی چین فعالیت دارند، انجام میشود و احتمال ادامه آنها در آینده نزدیک بسیار زیاد است.
