CISA и NSA: предупреждение о вредоносной программе BRICKSTORM, атакующей VMware ESXi и Windows
Новая киберугроза, привлекшая внимание международного сообщества, — сложное вредоносное ПО под названием BRICKSTORM. О нём было объявлено в совместном предупреждении Агентства по кибербезопасности и защите инфраструктуры США (CISA), Агентства национальной безопасности (NSA) и Канадского центра кибербезопасности (Cyber Centre). По данным специалистов, данная атака осуществляется опытными хакерскими группами, поддерживаемыми Китайской Народной Республикой.
BRICKSTORM — вредоносный модуль, глубоко внедряющийся в виртуальную инфраструктуру
По словам экспертов по кибербезопасности, BRICKSTORM представляет собой «бэкдор, предназначенный для обеспечения длительного скрытого присутствия». Он написан на языке Go и использует продвинутые техники сокрытия, позволяющие ему избегать обнаружения. Основные цели вредоносного модуля:
- инфраструктура VMware vSphere
- серверные среды Windows
- серверы VMware ESXi и vCenter
Этот модуль способен глубоко внедряться в слой виртуализации, предоставляя злоумышленникам возможность управлять не только системами, но и виртуальными машинами, работающими на них. Наиболее опасным считается то, что с помощью BRICKSTORM атакующие могут похищать снимки виртуальных машин (snapshot), извлекая из них конфиденциальные данные, включая пароли и криптографические ключи.
Цепочка атаки: скрытое проникновение, латеральное движение и постоянный контроль
Специалисты отмечают, что BRICKSTORM использует DNS-over-HTTPS (DoH) для установления связи с серверами управления (C2). Это позволяет маскировать вредоносный трафик под обычные DNS-запросы, значительно снижая вероятность обнаружения.
После нахождения сервера C2 вредоносная программа продолжает связь через HTTPS, инкапсулируя её в дополнительный слой WebSocket + TLS и передавая внутри несколько потоков данных (оболочка, передача файлов, команды). Для этого используются библиотеки мультиплексирования smux или Yamux.
Пример из практики
Согласно совместному отчёту, с апреля 2024 года по сентябрь 2025 года несколько государственных учреждений подвергались длительной целевой атаке. Ход атаки включал следующие этапы:
- Сначала был взломан уязвимый веб-сервер в DMZ.
- Затем злоумышленники осуществили латеральное движение и получили доступ к контроллеру домена и серверу ADFS.
- После установления контроля над внутренней сетью BRICKSTORM был внедрён на сервер VMware vCenter.
- С сервера ADFS были похищены криптографические ключи, что позволило злоумышленникам создавать поддельные токены аутентификации.
- Получив доступ к виртуальному уровню, атакующие смогли даже создавать невидимые «rogue» виртуальные машины, работающие параллельно с легитимными.
Возможности BRICKSTORM
| Возможность | Описание |
|---|---|
| Механизм самовосстановления | Функция «self-watcher» автоматически переустанавливает вредоносный процесс, если он был остановлен. |
| Использование протокольного туннелирования | Создаёт скрытые туннели трафика через TCP, UDP и даже ICMP. |
| Нацеленность на виртуальную среду | Некоторые версии используют VSOCK для передачи данных между ВМ без использования стандартной сети. |
| Устойчивое скрытое присутствие | Вносит изменения в файлы типа /etc/sysconfig/init, обеспечивая выживание после перезагрузки. |
Рекомендации по кибербезопасности
CISA, NSA и Канадский центр кибербезопасности призывают организации незамедлительно проверить индикаторы компрометации BRICKSTORM. Специалисты выделяют следующие приоритетные меры:
1. Немедленное обновление версий VMware vSphere
Уязвимые версии наиболее подвержены угрозам вроде BRICKSTORM.
2. Строгий контроль и блокировка DoH-трафика
Вредоносная программа использует DoH для поиска серверов C2.
3. Минимизация связей между периферийными устройствами и внутренними ресурсами
Многие атаки начинаются именно с DMZ.
4. Усиление мониторинга сервисных учётных записей
Злоумышленники активно злоупотребляли такими аккаунтами.
5. Форензика на уровне диска
BRICKSTORM маскируется не только в процессах, но и в конфигурации системной инициализации.
BRICKSTORM — яркий пример того, насколько продвинутыми стали современные инструменты кибервойны. Он способен глубоко проникать в виртуальную экосистему и сохранять контроль над ней в течение длительного времени.
Государственные учреждения, крупные корпорации и организации, использующие виртуализацию, должны незамедлительно усилить меры по резервному копированию, мониторингу и устранению уязвимостей.
Современные угрозы становятся всё сложнее, и борьба с ними требует постоянного развития защитных механизмов.
