Kanadalı siber yetkililerin de katıldığı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA), “BRICKSTORM” adı verilen yeni ve gelişmiş bir kötü amaçlı yazılım kampanyasına ilişkin ortak bir uyarı yayınladı.
Yayımlanan tavsiye belgesine göre, Çin Halk Cumhuriyeti’nden (PRC) devlet destekli bilgisayar korsanları, kritik hükümet ve teknoloji ağlarına sızmak ve bu ağların içine saklanmak için bu aracı aktif olarak kullanıyor.
Uyarı, BRICKSTORM’u tehlikeli bir “arka kapı”, gizli bir kilit açma mekanizması gibi çalışan ve saldırganların kurbanın sistemine istedikleri zaman geri dönmelerine olanak tanıyan bir tür kötü amaçlı yazılım olarak tanımlıyor.
Kötü amaçlı yazılım, sanal sunucuların yanı sıra standart Windows ortamlarını çalıştırmak için yaygın olarak kullanılan bir yazılım olan VMware vSphere’i hedef almak üzere özel olarak tasarlanmıştır.
Yetkililer, kampanyanın öncelikli amacının casusluk olduğunu belirtti. Saldırganlar, kurumsal sunucuları (özellikle VMware vCenter ve ESXi) yöneten temel yazılımı hedef alarak makinede etkili bir şekilde “hayalet” haline gelebilir.
Standart güvenlik alarmlarını tetiklemeden, etkinliği izleyebilir, hassas verileri çalabilir ve hatta şifreleri ve kriptografik anahtarları çıkarmak için sunucuların tüm “anlık görüntülerini” kopyalayabilirler.
Saldırı Nasıl Çalışır?
Rapor, bu saldırıların son derece hesaplı olduğunu ortaya koyuyor. Doğrulanan bir vakada bilgisayar korsanları, Nisan 2024 gibi erken bir tarihte kurbanın ağına erişim sağladı ve Eylül 2025’e kadar tespit edilemedi.
Başlangıçta savunmasız bir web sunucusuna sızdılar, ardından çalıntı şifreleri kullanarak ağ boyunca yanlara doğru ilerlediler. İçeriye girdikten sonra BRICKSTORM kötü amaçlı yazılımını yerleştirdiler.
BRICKSTORM’un tespit edilmesini özellikle zorlaştıran şey, ortama uyum sağlama yeteneğidir. Kötü amaçlı yazılım, iletişimlerini gizlemek için karmaşık şifreleme teknikleri kullanır.
Komutlarını normal web trafiği veya güvenli internet bağlantıları olarak gizleyerek, ağ savunucularına normal iş faaliyetleri gibi görünmesini sağlar.
Ayrıca “kendini izleme” özelliği de bulunmaktadır. Bir güvenlik programı onu durdurmaya veya silmeye çalışırsa BRICKSTORM kendini otomatik olarak yeniden yükleyebilir ve yeniden başlatabilir, böylece saldırganların tutunabilecekleri yerleri asla kaybetmemelerini sağlar.
Ajanslar, bu kampanyanın “Devlet Hizmetleri ve Tesisleri” ile “Bilgi Teknolojileri” sektörlerini hedef aldığı konusunda uyardı.
Başarılı bir enfeksiyonun etkisi şiddetli olabilir. Analiz edilen saldırılarda, bilgisayar korsanları kritik dijital anahtarları çalarak meşru kullanıcıların kimliğine bürünmelerine ve ağın son derece kısıtlı alanlarına erişmelerine olanak sağladı.
CISA ve NSA, başta kritik altyapılarda bulunanlar olmak üzere tüm kuruluşlara, ağlarında bu spesifik tehdidin işaretlerini derhal araştırmaları konusunda çağrıda bulunuyor.
Ajanslar, güvenlik ekiplerinin kötü amaçlı yazılımı tanımlamak için kullanabileceği teknik “imzalar”, yani dijital parmak izleri yayınladı.
Yöneticilerin VMware ürünlerini derhal güncellemeleri, yönetim sistemlerine erişimi sıkı bir şekilde sınırlamaları ve olağandışı hesap etkinliklerini izlemeleri önerilir. “
Bu, uzun vadeli bir kalıcılık aracıdır,” uyarısı sona eriyor ve saldırganların zaten sanallaştırma altyapısının derinliklerine inmiş olması durumunda, yalnızca ilk bulaşmayı ortadan kaldırmanın yeterli olmayabileceği konusunda uyarıda bulunuyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.