Google Threat Intelligence a Mandiant Consulting vydali vážne varovanie pre firmy a štáty. Nie je to len ďalšia „správa o malvéri“, ale signál o novej vlne sofistikovaných útokov s priamym dosahom na geopolitickú stabilitu.

Útočníci s väzbami na Čínu prenikli do veľkého počtu firemných sietí a cez zadné vrátka si vytvorili dlhodobý prístup na krádež citlivých údajov.

Backdoor BRICKSTORM rozhodne nie je bežný malvér. Po úspešnej infiltrácii umožňuje útočníkovi trvalý a skrytý prístup do kompromitovanej siete alebo zariadenia. Jeho dizajn a schopnosti ho radia medzi sofistikované APT nástroje.

Útočníci využívajú zero-day zraniteľnosti v zariadeniach Ivanti a cielia najmä na právne služby, technologické firmy, SaaS a outsourcing. V sieťach ostávajú v priemere 393 dní, pretože ich malvéry bežia na zariadeniach mimo pokrytia EDR riešení. Google preto uvoľnil bezplatný detekčný nástroj pre tieto platformy.

Útočníci nezostávajú len pri exfiltrácii dát. Získané informácie používajú na vývoj ďalších zero-day exploitov a na prienik do infraštruktúr ďalších obetí vrátane zákazníkov SaaS providerov. Skupina pokročilých hrozieb UNC5221 využíva popri BRICKSTORM-e aj vlastné úpravy škodlivého kódu, čím znižuje šance na detekciu. Okrem toho kradnú prihlasovacie údaje cez vlastný Tomcat filter a infiltrujú e-maily kľúčových osôb.