CISA va NSA: VMware ESXi hamda Windows tizimlariga hujum qilayotgan BRICKSTORM zararli dasturidan ogohlantirdi
Kiberxavfsizlik bo‘yicha xalqaro hamjamiyat e’tiborini o‘ziga jalb qilgan yangi tahdid — BRICKSTORM nomli murakkab zararli dastur (malware) haqida AQShning Kiberxavfsizlik va infratuzilmani himoya qilish agentligi (CISA), Milliy xavfsizlik agentligi (NSA) hamda Kanada Kiberxavfsizlik markazi (Cyber Centre) tomonidan qo‘shma ogohlantirish e’lon qilindi. Mutaxassislarning ma’lum qilishicha, bu hujum amaliyoti Xitoy Xalq Respublikasi tomonidan qo‘llab-quvvatlanayotgan tajribali kiber guruhlar tomonidan boshqarilmoqda.
BRICKSTORM — virtual infratuzilmalarga chuqur singib kiradigan maxsus zararli modul
BRICKSTORM kiberxavfsizlik mutaxassislari tomonidan «uzoq muddatli yashirin mavjudlikni ta’minlash uchun mo‘ljallangan backdoor» sifatida tasvirlanadi. U Go dasturlash tilida yaratilgan bo‘lib, o‘zini aniqlashni qiyinlashtiradigan ilg‘or yashirin texnikalarga ega. Zararli modulning asosiy nishonlari:
- VMware vSphere infratuzilmalari
- Windows server muhitlari
- VMware ESXi hamda vCenter serverlari
Ushbu zararli modul virtualizatsiya qatlamiga chuqur integratsiyalanib, tahdid aktorlariga nafaqat tizimlarni, balki ularda ishlayotgan virtual mashinalarning o‘zini ham boshqarishga imkon beradi. Eng xavflisi shundaki, BRICKSTORM orqali tajovuzkorlar virtual mashinalarning snapshotlarini o‘g‘irlab, undagi maxfiy ma’lumotlar, jumladan, parollar va kalitlarni qo‘lga kiritishga muvaffaq bo‘lishlari mumkin.
Hujum zanjiri: yashirin kirish, lateral harakat va doimiy nazorat
Mutaxassislar qayd etishcha, BRICKSTORM o‘z boshqaruv serverlari (C2) bilan aloqani o‘rnatishda DNS-over-HTTPS (DoH) protokolidan foydalanadi. Bu esa trafikni oddiy DNS so‘rovlari orasiga yashiradi va aniqlanish ehtimolini keskin kamaytiradi.
C2 bilan bog‘langach, zararli modul HTTPS orqali aloqani davom ettiradi va uni qo‘shimcha WebSocket + TLS qatlami bilan kapsulalab, ichida bir nechta oqimlarni (shell, fayl uzatish, buyruqlar) yurgizadi. Bu maqsadda smux yoki Yamux kabi multiplekslash kutubxonalaridan foydalaniladi.
Amaliy misol
Qo‘shma hisobotda keltirilishicha, 2024-yil aprelidan 2025-yil sentyabriga qadar bo‘lgan davrda bir nechta davlat muassasasi tarmoqlari hujum ostida bo‘lgan. Hujum quyidagi bosqichlardan o‘tgan:
- Dastlab DMZ hududidagi zaif web-server buzilgan.
- So‘ng tajovuzkorlar lateral harakat orqali domen kontroller va ADFS serverlariga kirib borgan.
- Ichki tarmoq nazoratga olingach, BRICKSTORM VMware vCenter serveriga o‘rnatilgan.
- ADFS serveridan kriptografik kalitlar o‘g‘irlangan, bu esa qalbakilashtirilgan autentifikatsiya tokenlari yaratish imkonini beradi.
- Virtualizatsiya qatlamiga chuqur kirgan holda, tajovuzkorlar hatto ko‘rinmas “rogue” VM-larni yaratish imkoniyatiga ega bo‘lgan.
BRICKSTORM imkoniyatlari
| Imkoniyat | Tavsif |
|---|---|
| O‘zini tiklash mexanizmi | “Self-watcher” funksiyasi yordamida zararli jarayon to‘xtatilsa, avtomatik ravishda qayta o‘rnatiladi. |
| Protokol tunnelidan foydalanish | TCP, UDP va hatto ICMP orqali yashirin trafik tunnelini yaratadi. |
| Virtual muhitni nishonga olish | Ayrim variantlar VSOCK orqali VM-lar orasida an’anaviy tarmoqsiz ma’lumot uzatadi. |
| Barqaror yashirinlik | /etc/sysconfig/init kabi fayllarni o‘zgartirib, qayta yuklashdan keyin ham mavjud bo‘lib qoladi. |
Kiberxavfsizlik bo‘yicha tavsiyalar
CISA, NSA va Kanada Cyber Centre barcha tashkilotlarni BRICKSTORM-indikatorlarini zudlik bilan tekshirishga chaqirmoqda. Mutaxassislar quyidagi chora-tadbirlarni ustuvor deb belgilagan:
1. VMware vSphere versiyalarini zudlik bilan yangilash
Zaif versiyalar BRICKSTORM kabi chuqur integratsiyalanuvchi tahdidlarga eng ko‘p moyil.
2. DoH trafikni qat’iy nazorat qilish yoki bloklash
Zararli modul C2 serverlarini aynan DoH orqali topadi.
3. Edge qurilmalar va ichki resurslar orasidagi bog‘lanishni minimalga tushirish
DMZ orqali boshlanuvchi hujumlar eng keng tarqalgan ssenariylardan biri.
4. Xizmat hisobraqamlariga kuzatuvni kuchaytirish
BRICKSTORM aynan xizmat akkauntlarini suiiste’mol qilgani qayd etilgan.
5. Disk darajasidagi forensik tekshiruvlarni amalga oshirish
Zararli modul faqat jarayonlar darajasida emas, balki init-konfiguratsiyalarga ham o‘zini joylaydi.
BRICKSTORM — zamonaviy kiberurush vositalari qanchalik rivojlanganini namoyish etuvchi yaqqol misol. U nafaqat tizimlarni, balki ularning virtual ekotizimini ham chuqur darajada egallab, uzoq muddat nazorat ostida ushlab turishi mumkin.
Davlat muassasalari, yirik korporatsiyalar va virtualizatsiyadan keng foydalanadigan tashkilotlar kechiktirmasdan zaxiralash, monitoring va zaifliklarni bartaraf etish choralarini kuchaytirishi zarur.
Zamon talabi shuki, kiberhujumlar murakkablashib borar ekan, ularga qarshi kurash ham doimiy ravishda yangilanib, takomillashib borishi shart.
