中共黑客入侵圖。(Grok AI製圖)
美國網路安全與基礎設施安全局(CISA)、美國國家安全局(NAS)與加拿大網路安全中心(CCCS)星期四(12月4日)聯合發佈有關BRICKSTORM(磚風暴)的警示及分析報告,詳細披露中共當局支持的黑客展開廣泛行動,利用這種惡意軟體長期持久攻擊受害者的網路系統。
據美國之音報導,美國網路安全與基礎設施安全局在星期四的一項聲明中說,該局「了解到中華人民共和國(PRC)支持的黑客組織正利用BRICKSTORM惡意軟體持續入侵受害者系統,以實現長期駐留。
BRICKSTORM是一種針對VMware vSphere和Windows環境的複雜後門程序。
受害組織主要集中在政府服務與設施以及信息技術領域。
」聲明舉例說,在一次已確認的入侵事件中,中共政府支持的黑客訪問了某組織的非軍事區(DMZ)內的網路伺服器,橫向移動到一台內部VMware vCenter伺服器,然後植入了BRICKSTORM惡意軟體。
美國網路安全與基礎設施安全局還說:「在獲得受害者系統的訪問許可權後,受PRC政府支持的網路行為者會通過執行系統備份或捕獲活動目錄(Active Directory)資料庫信息來獲取並使用合法憑證,從而竊取敏感信息。網路行為者隨後把目標對準VMware vSphere平台,竊取克隆的虛擬機(VM)快照以提取憑證,並創建隱藏的惡意虛擬機,以逃避檢測。」
美加網路安全機構在他們的報告中沒有披露這些具體受害組織的名稱,但指出它們都是「政府和關鍵基礎設施組織」。
美國政府表示,近年來與中共政府有關的黑客對一系列美國和其他國家的電信公司、網路服務提供商和其它敏感目標進行了攻擊。
美國國家安全局在星期四的聲明中鼓勵各組織,「特別是那些在關鍵基礎設施、政府服務和設施以及信息技術領域內」組織,使用分析報告所列出的「入侵指標」(IOC)和檢測特徵來檢測BRICKSTORM的後門活動。
該機構呼籲各組織如檢測到BRICKSTORM、類似惡意軟體或潛在的相關活動,應立即報告入侵事件。
△
