Brickstorm – backdoor po cichu wykradający dane z systemów amerykańskich organizacji

Brickstorm to backdoor napisany w Go. Pierwsze wzmianki o nim pojawiły się w kwietniu 2024 roku. Malware pełnił funkcję serwera WWW, narzędzia do manipulacji plikami, droppera, przekaźnika SOCKS oraz narzędzia do wykonywania poleceń powłoki. Badacze przypisali te ataki klastrowi aktywności grupy UNC5221, znanej z wykorzystywania podatności typu zero-day w produktach Ivanti do atakowania agencji rządowych z użyciem niestandardowego malware, takiego jak Spawnant i Zipline.

Według Google Threat Intelligence Group (GTIG) atakujący używali Brickstorm do cichego wykradania danych z sieci swoich ofiar, a czas przebywania w środowisku ofiary do momentu wykrycia (dwell time) wynosił średnio 393 dni.

Badacze potwierdzili naruszenie bezpieczeństwa organizacji z sektorów prawnego i technologicznego, dostawców oprogramowania w modelu SaaS, a także firm zajmujących się outsourcingiem procesów biznesowych (BPO). Według Google wartością dla hakerów, nie jest o tyle atak, co gromadzenie danych i eksperymentów do rozwoju eksploitów typu zero-day. Cel? Ekspansja ataków na kolejne ofiary, szczególnie te, które nie są chronione przez rozwiązania typu Endpoint Detection and Response (EDR).

Ze względu na długi czas obecności w systemach ofiar oraz użycie przez UNC5221 skryptów anti-forensics – narzędzi lub poleceń mających zacierać ślady wejścia i utrudniać analizę powłamaniową, GTIG nie był w stanie ze struprocentową pewnością ustalić początkowy wektor ataku. Badacze uważają, że najprawdopodobniej wykorzystano podatności typu zero-day w urządzeniach peryferyjnych (a kogo to by zdziwiło? ;-)).

Atakujący instalują Brickstorm na urządzeniach, które zwykle nie są monitorowane przez EDR (np. hipernadzorca VMware), a następnie komunikują się z kontrolowanymi przez siebie serwerami, ukrywając tę komunikację jako normalny ruch do popularnych, zaufanych usług (Cloudflare, Heroku). Dzięki temu ich działania są bardzo trudne do wykrycia, a kompromitacja daje im szerokie możliwości kradzieży i przemieszczania się po sieci (ang. Lateral Movement).

Po uzyskaniu przyczółka atakujący próbowali eskalować uprawnienia, wykorzystując złośliwy filtr Java Servlet (Bricksteal) na instancji vCenter do przechwytywania poświadczeń, a także klonując maszyny wirtualne Windows Server w celu wyciągnięcia sekretów.

Skradzione dane uwierzytelniające były następnie używane do ruchu bocznego (ponownie lateral movement) i utrzymania się w środowisku, co obejmowało włączanie SSH na ESXi i modyfikowanie skryptów startowych init.d oraz systemd.

Głównym celem operacyjnym Brickstorm jest eksfiltracja wiadomości e-mail poprzez Microsoft Entra ID Enterprise Apps, z wykorzystaniem swojego proxy SOCKS do tunelowania ruchu do systemów wewnętrznych i repozytoriów kodu, przy zachowaniu odpowiedniego poziomu ukrycia.

Obserwacje Google wskazują, że UNC5221 skupia się szczególnie na deweloperach, administratorach oraz osobach powiązanych z interesami gospodarczymi i bezpieczeństwem Chin.

Po zakończeniu operacji malware jest usuwane, aby utrudnić analizy powłamaniowe. Sprawę dodatkowo komplikuje fakt, że UNC5221 nigdy nie używa dwa razy tych samych domen C2 ani tych samych próbek malware.

~Natalia Idźkowska