美国网络安全与基础设施安全局(CISA)、美国国家安全局(NAS)与加拿大网络安全中心(CCCS)星期四(12月4日)联合发布有关BRICKSTORM(砖风暴)的警示及分析报告,详细披露中国政府支持的黑客展开广泛行动,利用这种恶意软件长期持久攻击受害者的网络系统。
美国网络安全与基础设施安全局在星期四的一项声明中说,该局“了解到中华人民共和国(PRC)支持的黑客组织正利用BRICKSTORM 恶意软件持续入侵受害者系统,以实现长期驻留。BRICKSTORM是一种针对VMware vSphere和Windows环境的复杂后门程序。受害组织主要集中在政府服务与设施以及信息技术领域。”
声明举例说,在一次已确认的入侵事件中,中国政府支持的黑客访问了某组织的非军事区(DMZ)内的网络服务器,横向移动到一台内部VMware vCenter服务器,然后植入了BRICKSTORM 恶意软件。
美国网络安全与基础设施安全局还说:“在获得受害者系统的访问权限后,受PRC政府支持的网络行为者会通过执行系统备份或捕获活动目录(Active Directory)数据库信息来获取并使用合法凭证,从而窃取敏感信息。网络行为者随后把目标对准VMware vSphere平台,窃取克隆的虚拟机(VM)快照以提取凭证,并创建隐藏的恶意虚拟机,以逃避检测。”
美加网络安全机构在他们的报告中没有披露这些具体受害组织的名称,但指出它们都是“政府和关键基础设施组织”。
美国政府表示,近年来与中国政府有关的黑客对一系列美国和其他国家的电信公司、网络服务提供商和其它敏感目标进行了攻击。
中国政府一贯声称“不会对黑客攻击进行鼓励、支持或纵容”。
美国国家安全局在星期四的声明中鼓励各组织,“特别是那些在关键基础设施、政府服务和设施以及信息技术领域内”组织,使用分析报告所列出的“入侵指标”(IOC)和检测特征来检测BRICKSTORM的后门活动。该机构呼吁各组织如检测到BRICKSTORM、类似恶意软件或潜在的相关活动,应立即报告入侵事件。
评论区