Çin’e bağlantıları olan bir grup hacker, ABD şirketlerine karşı uzun vadeli bir casusluk operasyonu yürütüyor. Mandiant’taki (Google Tehdit İstihbarat Grubu’nun bir parçası) siber güvenlik araştırmacıları, Linux ve BSD (Berkeley Yazılım Dağıtımı) gibi özel işletim sistemlerini hedefleyen Brickstorm adlı bu tehdidi izliyor.
Mantiant’ın soruşturması, grubun değerli fikri mülkiyet ve ulusal güvenlik ve uluslararası ticaretle ilgili hassas bilgileri çalma misyonunu göstermektedir. Bu bilgisayar korsanları, en azından Mart 2025’ten beri çoğunlukla yasal hizmetleri, teknolojiyi, SaaS ve iş süreci dış kaynak kullanıcıları (BPOS) sektörlerini hedef alan 393 gün ortalama olarak endişelenen uzun bir süre için erişimi sürdürdüler.
Brickstorm kötü amaçlı yazılım
Ocak 2025’te Ivanti VPN Zero-Day’in yaygın sömürüsünün arkasında olan UNC5221 olarak Maniant tarafından izlenen bilgisayar korsanları, yeni ve özel olarak tasarlanmış Go-dili tuğlalar kötü amaçlı yazılım kullanıyor. Bu durumda, grup ağ cihazlarını ve sunucuları kötü amaçlı yazılımlarla enfekte etmek için sıfır gün güvenlik açıklarından yararlanır.
Mantiant’ın blog yazısına göre, bu başlangıç erişimini sürekli olarak yüksek değerli sistemlere, özellikle VMware vCenter ve ESXI ana bilgisayarlarına geçmek için kullanılır. Bunu başarmak için, saldırganlar önce bir ağ cihazına tuğla fırtınası yapar, geçerli kimlik bilgileri çalın ve ardından SSH üzerinden yanal olarak vCenter sunucusuna geçin
Araştırmacılar ayrıca, tuğla fırtınanın çorap proxy işlevselliğine sahip olduğunu ve saldırganların trafiği tünel tünel yapmasını ve ağdan sessizce hareket etmesini sağladığını açıklıyor. Bu tamamlandığında, etkinliklerini gizlemek için kuruluşun kendi ağ cihazlarını kullanırken yüksek ayrı kullanıcı girişleri yakalarlar.
Kötü amaçlı yazılım, güvenlik önlemlerinden sürekli olarak kaçınmak için “gelişmiş gizleme” (Araç Garble ve özel bir iç kütüphane gibi) kullanılarak aktif geliştirme altındadır.
Büyük hedef nedir?
Mantiant, bilgisayar korsanlarının bir hizmet (SAAS) sağlayıcıları olarak yazılımın uzlaşmasından başlayarak ve müşterilerinin ağlarına uzanan uzun vadeli hedeflere odaklandığına inanıyor.
Buna ek olarak, bu saldırılarda gözlenen ortak bir amaç, kritik personelin e -postalarına, özellikle Çin Halk Cumhuriyeti’nin (PRC) ekonomik ve casusluk çıkarlarıyla ilgili sistem yöneticileri ve geliştiricilere erişmektir. Herhangi bir posta kutusuna sızmak için, tehdit aktörleri Microsoft Intra ID Enterprise uygulamalarını yüksek erişim kapsamları ile kullandı ( mail.read veya full_access_as_app).
Mantian, şirketlerin siber güvenlikleri üzerinde çalışmaları gerektiğini kuvvetle önermektedir. Şirket ayrıca, GitHub sayfasında kuruluşların Brickstorm Backdoor için Linux tabanlı sistemlerini kontrol etmek için kullanabileceği ücretsiz bir tarayıcı komut dosyası paylaştı.
Uzman paket servisi
Sokradar’daki Ciso, Ensar Seker kampanyanın ciddiyetine yansıyor. Hackread.com ile paylaşılan özel görüşünde Seker, Brickstorm’un “uyandırma çağrısı” olduğunu belirtti. Saldırganların stratejisinin onlara “erişim üzerinde çarpan bir etki” verdiğini açıkladı, çünkü hizmet sağlayıcılara girerek “müşterilerine ve ortaklarına yol” kazanıyorlar.
Seker, bu operasyonun iç tasarımları çalarak ve savunmaları nasıl atlayacağını öğrenerek “gelecekteki birden fazla saldırıyı destekleyebilecek oluşturma yetenekleri” ile ilgili olduğunu vurguladı. Savunma açısından bakıldığında, şirketlere “güvendikleri herhangi bir satıcının, sonunda değil, şu anda değil, şu anda tehlikeye atılabileceğini varsaymasını” önerir.
“Özetle, Bricktorm bir uyandırma çağrısıdır: rakipler artık yüksek değerli firmalara yararlanmak için uç noktalar olarak değil, daha geniş bir zeka ve erişim ağındaki düğümler olarak muamele ediyorlar. Buna karşı savunmak, ekosistemlerde düşünmemizi ve sadece kendimiz için değil, her bağlı taraf için uzlaşmayı gerektirmemizi gerektirir.