美國網絡安全與基礎設施安全局(CISA)、美國國家安全局(NAS)與加拿大網絡安全中心(CCCS)星期四(12月4日)聯合發佈有關BRICKSTORM(磚風暴)的警示及分析報告,詳細披露中國政府支持的黑客展開廣泛行動,利用這種惡意軟件長期持久攻擊受害者的網絡系統。
美國網絡安全與基礎設施安全局在星期四的一項聲明中說,該局「了解到中華人民共和國(PRC)支持的黑客組織正利用BRICKSTORM惡意軟件持續入侵受害者系統,以實現長期駐留。BRICKSTORM是一種針對VMware vSphere和Windows環境的複雜後門程序。受害組織主要集中在政府服務與設施以及信息技術領域。」
聲明舉例說,在一次已確認的入侵事件中,中國政府支持的黑客訪問了某組織的非軍事區(DMZ)內的網絡伺服器,橫向移動到一台內部VMware vCenter伺服器,然後植入了BRICKSTORM惡意軟件。
美國網絡安全與基礎設施安全局還說:「在獲得受害者系統的訪問權限後,受PRC政府支持的網絡行為者會通過執行系統備份或捕獲活動目錄(Active Directory)數據庫信息來獲取並使用合法憑證,從而竊取敏感信息。網絡行為者隨後把目標對準VMware vSphere平台,竊取克隆的虛擬機(VM)快照以提取憑證,並創建隱藏的惡意虛擬機,以逃避檢測。」
美加網絡安全機構在他們的報告中沒有披露這些具體受害組織的名稱,但指出它們都是「政府和關鍵基礎設施組織」。
美國政府表示,近年來與中國政府有關的黑客對一系列美國和其他國家的電信公司、網絡服務提供商和其它敏感目標進行了攻擊。
中國政府一貫聲稱「不會對黑客攻擊進行鼓勵、支持或縱容」。
美國國家安全局在星期四的聲明中鼓勵各組織,「特別是那些在關鍵基礎設施、政府服務和設施以及信息技術領域內」組織,使用分析報告所列出的「入侵指標」(IOC)和檢測特徵來檢測BRICKSTORM的後門活動。該機構呼籲各組織如檢測到BRICKSTORM、類似惡意軟件或潛在的相關活動,應立即報告入侵事件。
圖示:黑客使用便攜電腦進行網絡攻擊。
