中国网络间谍利用Brickstorm后门长期渗透美国关键基础设施

根据美国及加拿大网络安全机构的联合警告,疑似中国背景的黑客组织利用名为Brickstorm的高级后门程序,长期潜伏并渗透美国多个关键组织的网络,窃取敏感数据。该后门支持Linux、VMware和Windows环境,攻击者还利用了多种技术手段维持访问权限。

PRC间谍利用Brickstorm后门潜入美国关键网络并隐藏数年

根据美国政府机构和私营安全公司周四发布的警告,中国的网络间谍长期保持对关键网络的访问权限——有时长达数年——并利用这种访问权限在计算机上植入恶意软件并窃取数据。

根据美国网络安全和基础设施安全局、美国国家安全局和加拿大网络安全中心的联合安全警报,疑似得到中国支持的黑客使用Brickstorm后门感染了至少八个政府服务和IT组织。

然而,CISA负责网络安全的执行助理主任尼克·安德森周四告诉记者:“我们可以合理地假设,在我们尚未有机会与之沟通之前,还存在其他受害者。” 他将Brickstorm描述为一种"极其复杂的恶意软件"。

该后门可在Linux、VMware和Windows环境中运行。虽然安德森拒绝将这些恶意软件感染归因于某个特定的中国网络组织,但他表示,这说明了中国黑客团伙对美国关键基础设施构成的威胁。

“国家支持的攻击者不仅仅是渗透网络,“安德森说,“他们是在嵌入自身,以实现长期访问、干扰和潜在的破坏。”

在CISA处理的一起事件中,中国黑客于2024年4月获得了该组织内部网络的访问权限,将Brickstorm上传到一台内部的VMware vCenter服务器上,并利用此后门保持持久访问,至少持续到9月3日。

在受害者网络内期间,该团伙还获得了两个域控制器和一个Active Directory联合身份验证服务服务器的访问权限,并利用它们窃取了加密密钥。

影响范围广泛

谷歌威胁情报部门在9月的一份报告中首次对Brickstorm发出警告,“强烈"建议组织运行谷歌旗下Mandiant在GitHub上发布的开源扫描程序,以帮助检测其设备上的后门。

谷歌威胁情报集团首席分析师奥斯汀·拉森告诉《The Register》:“我们认为美国有数十个组织受到了Brickstorm的影响,这还不包括下游受害者。这些攻击者在我们的9月报告之后,仍然在积极针对美国组织,并且正在进化Brickstorm和他们的技术。”

谷歌的Mandiant事件响应团队自3月份以来一直在处理这些入侵事件,并在其早期报告中将其归因于UNC5221,一个疑似中国组织。

“Mandiant已应对了跨多个行业垂直领域的入侵,特别是法律服务、软件即服务提供商、业务流程外包商和技术公司,“拉森说,“针对SaaS提供商和边缘设备制造商的攻击,具体来说,是作为获取下游目标访问权限的一种方法。”

其他安全公司的发现

在周四发布的另一份单独报告中,CrowdStrike将此后门归因于一个名为Warp Panda的新中国关联团伙,该团伙至少自2022年以来一直活跃,并称其已识别出"多起"针对美国法律、技术和制造组织的VMware环境的入侵事件。

这个疑似中国间谍团伙利用其中一个被攻破的网络,对某个亚太政府实体进行了"初步侦察"活动,他们还连接了网络安全博客和一个中文GitHub代码库。“在至少一次入侵中,攻击者专门访问了从事与中国政府利益相关主题工作的员工的电子邮件账户,“研究人员写道。一位发言人拒绝透露该安全公司观察到了多少次此类入侵。

CrowdStrike描述了一种与谷歌和CISA详述的方法类似的方法,称Warp Panda通常通过利用面向互联网的边缘设备来获取受害者网络的访问权限,然后转向vCenter环境,使用有效凭证或利用漏洞。

报告中详述的一个例子中,Warp Panda在2023年末首次获得了对被入侵网络的访问权限,除了在VMware vCenter服务器上部署Brickstorm外,该团伙还在ESXi主机和客户虚拟机上分别部署了两个之前未被观察到的、基于Go语言的植入程序,分别称为Junction和GuestConduit。

在"多次"情况下,间谍收集并准备了敏感数据以进行外泄。

根据CrowdStrike的说法,Warp Panda还在夏末侵入了"多个"组织的Microsoft Azure环境,主要是为了访问存储在OneDrive、SharePoint和Exchange中的Microsoft 365数据。

在一个例子中,间谍获取了用户会话令牌,并通过Brickstorm植入程序建立隧道传输流量,以通过会话重放访问Microsoft 365服务。“攻击者进一步访问并下载了与某实体的网络工程和事件响应团队相关的敏感SharePoint文件,“威胁猎手写道。

此外,在至少一个案例中,网络入侵者通过在首次登录用户账户后,通过验证器应用程序代码注册新的多因素认证设备,建立了持久性。

Palo Alto Networks的Unit 42顾问和事件响应人员也在监控此后门及其操作者,Unit 42国家安全项目主任皮特·雷纳尔斯告诉《The Register》。

“Unit 42仍然对这些攻击者在信息技术和政府网络内保持的长期驻留时间和持久访问权限感到担忧,这掩盖了他们活动的全部范围和可能造成的损害,“雷纳尔斯说。“除了Brickstorm,UNC5221继续利用独特的恶意文件来保持持久性,在网络内部署定制的后门,并且在受害者之间没有交叉使用,使得检测异常困难。”

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次