Кибершпионы из Китая годами сохраняли доступ к критически важным сетям, используя его для заражения компьютеров вредоносным ПО и кражи данных, согласно предупреждениям, опубликованным в четверг правительственными учреждениями и частными компаниями, специализирующимися на кибербезопасности.
Агенты, поддерживаемые НОК, заразили не менее восьми государственных служб и IT-организаций бэкдором Brickstorm, согласно совместному предупреждению от Агентства по кибербезопасности и защите инфраструктуры США (CISA), Национального агентства по безопасности США и Канадского центра кибербезопасности.
Однако, «логично предположить, что на свободе есть дополнительные жертвы, пока у нас не будет возможности связаться со всеми», – заявил Ник Андерсен, исполнительный помощник директора CISA по кибербезопасности, рассказав журналистам в четверг, что Brickstorm – это “исключительно сложный образец вредоносного ПО».
Этот бэкдор работает в средах Linux, VMware и Windows, и, хотя Андерсен не стал связывать заражение вредоносным ПО с конкретной китайской кибергруппой, он отметил, что это демонстрирует угрозу, которую НОК представляют для критически важной инфраструктуры США.
“Государственные акторы не просто проникают в сети, – заявил Андерсен. – Они внедряются, чтобы обеспечить долгосрочный доступ, нарушение работы и потенциальный саботаж.”
В одном из случаев, на который реагировало CISA, агенты НОК получили доступ к внутренней сети организации в апреле 2024 года, загрузили Brickstorm на внутренний сервер VMware vCenter и использовали бэкдор для постоянного доступа до 3 сентября как минимум.
Находясь в сети жертвы, агенты также получили доступ к двум контроллерам домена и серверу служб федерации Active Directory, которые они использовали для кражи криптографических ключей.
Десятки организаций в США пострадали от Brickstorm, не считая жертв второго порядка
Google Threat Intelligence, которая первой подняла тревогу по поводу Brickstorm в сентябрьском отчете, “категорически” рекомендовала организациям использовать открытый сканер, опубликованный компанией Google-owned Mandiant на GitHub, чтобы помочь обнаружить бэкдор на своих устройствах.
“Мы считаем, что десятки организаций в США пострадали от Brickstorm, не считая жертв второго порядка”, – заявил Остин Ларсен, старший аналитик Google Threat Intelligence Group, The Register. “Эти акторы по-прежнему активно атакуют организации в США и развивают Brickstorm и свои методы после нашего сентябрьского отчета.”
Команда реагирования на инциденты Mandiant от Google занимается этими вторжениями с марта, и в своем предыдущем отчете связала их с UNC5221, подозреваемой китайской группой.
“Mandiant реагирует на вторжения в различных отраслях, особенно в юридических службах, компаниях, предоставляющих программное обеспечение по модели SaaS, компаниях, занимающихся бизнес-аутсорсингом, и технологических компаниях”, – сказал Ларсен. “Таргетирование поставщиков SaaS и производителей периферийных устройств служит методом получения доступа к организациям второго порядка.”
В отдельном отчете, опубликованном в четверг, CrowdStrike приписал бэкдор новой китайской группировке под названием Warp Panda, которая действует как минимум с 2022 года, и сообщила, что выявила “несколько” вторжений, нацеленных на среды VMware в организациях США, занимающихся юридической деятельностью, технологиями и производством.
Подозреваемая китайская шпионская группа использовала одну из скомпрометированных сетей для проведения “простых” разведывательных мероприятий против правительственного органа в Азиатско-Тихоокеанском регионе, а также подключалась к блогам по кибербезопасности и репозиторию GitHub на китайском языке. “По крайней мере, во время одного вторжения злоумышленники специально получали доступ к учетным записям электронной почты сотрудников, работающих над темами, которые соответствуют интересам правительства Китая”, – написали исследователи.
Представитель отказался сообщить, сколько подобных вторжений наблюдали специалисты по безопасности.
Crowdstrike описал метод, аналогичный тем, которые подробно описаны Google и CISA, заявив, что Warp Panda обычно получает доступ к сетям жертв, используя интернет-ориентированные периферийные устройства, а затем переходит в среды vCenter, используя действительные учетные данные или эксплуатируя уязвимости.
В одном из случаев, описанных в отчете, Warp Panda получила первоначальный доступ к скомпрометированной сети в конце 2023 года, и, в дополнение к развертыванию Brickstorm на серверах VMware vCenter, агенты также развернули два ранее не наблюдаемых импланта, основанных на Go, под названием Junction и GuestConduit на хостах ESXi и гостевых виртуальных машинах соответственно.
В “многих случаях” шпионы собирали и подготавливали конфиденциальные данные для выгрузки.
Warp Panda также взломала “несколько” сред Microsoft Azure в конце лета, в основном для доступа к данным Microsoft 365, хранящимся в OneDrive, SharePoint и Exchange, согласно Crowdstrike.
В одном случае шпионы получили сессионные токены пользователей и передавали трафик через импланты Brickstorm для доступа к службам Microsoft 365 с помощью воспроизведения сеанса. “Злоумышленники также получали и загружали конфиденциальные файлы SharePoint, связанные с командами сетевой инженерии и реагирования на инциденты организации”, – написали охотники за угрозами.
Кроме того, по крайней мере, в одном случае, сетевые злоумышленники установили постоянный доступ, зарегистрировав новое устройство многофакторной аутентификации (MFA) через код приложения-аутентификатора после первоначального входа в учетную запись пользователя.
Консультанты и специалисты по реагированию на инциденты из Palo Alto Networks’ Unit 42 также отслеживают этот бэкдор и его операторов, – сообщил Питу Реналзу, директору программ по национальной безопасности в Palo Alto Networks’ Unit 42, The Register.
“Unit 42 обеспокоен продленным временем пребывания и постоянным доступом, который эти акторы поддерживают в сетях информационных технологий и правительства, что скрывает полный масштаб их деятельности и потенциальный ущерб”, – сказал Реналс. “В дополнение к Brickstorm, UNC5221 продолжает использовать уникальные вредоносные файлы для обеспечения постоянного доступа, внедряя пользовательские бэкдоры в сеть без пересечения от жертвы к жертве, что делает обнаружение чрезвычайно трудным.” ®
Автор – Jessica Lyons
