Brickstorm Malware ve Uzun Süreli Casusluk Faaliyetleri
Son dönemlerde, Çinli siber saldırganların kullanmış olduğu Brickstorm adlı kötü amaçlı yazılım, ABD merkezli teknoloji ve hukuki sektörlerdeki kuruluşlara karşı uzun süreli casusluk faaliyetlerinde bulunmuştur. Google, 2024 yılı Nisan ayında bu yazılımı aktif olarak izlediğini ve Çin bağlantılı ihlallerin tespit edildiğini açıklamıştır.
Brickstorm’un Özellikleri
Brickstorm, Go dilinde yazılmış bir arka kapıdır. Bu yazılım, mağdur kuruluşların sisteminde bir yıl boyunca, çoğu zaman tespit edilmeden kalmayı başarmıştır. Brickstorm, bir web sunucusu, dosya işleme aracı, bir dropper, SOCKS aracılığıyla veri iletimi gerçekleştiren bir sistem ve shell komut yürütme aracı olarak işlev görmektedir. Google Tehdit İstihbarat Grubu (GTIG) doğrultusunda, saldırganlar bu yazılımı kullanarak hedef ağlardan veri sızdırmakta ve tespit edilmeden yaklaşık 393 gün boyunca sızma gerçekleştirmektedir.
Hedef Alınan Kuruluşlar
Araştırmalar sonucunda, hukuk ve teknoloji sektörlerinde çalışan, yazılım olarak hizmet veren (SaaS) sağlayıcıları ve iş süreçleri dış kaynak sağlayıcıları (BPO) gibi birçok kuruluşun saldırıya uğradığı saptanmıştır. Google’a göre, bu tür kuruluşların ele geçirilmesi, kötü niyetli aktörlerin zero-day açıklarını geliştirerek, saldırılarını daha da genişletmesine olanak tanımaktadır.
UNC5221 Aktivite Grubu
Araştırmacılar, bu saldırıları UNC5221 adlı aktivite grubuna atfetmişlerdir. Bu grup, Ivanti‘nin zero-day açıklarından yararlanarak, hükümet ajanslarını özel kötü amaçlı yazılımlar olan Spawnant ve Zipline kullanarak hedef almasıyla bilinmektedir. Brickstorm’un uzun süreli etkisi, bu grubun kullandığı anti-forensics scriptleri ile girme yollarını gizleyebilmesinden kaynaklanmaktadır. Başlangıç erişim vektörünün belirlenememesi, bu tür saldırıların ne denli karmaşık olduğunu göstermektedir.
Brickstorm’un Dağıtımı
Brickstorm, EDR (son nokta tespit ve tepki) çözümleri desteklemeyen cihazlara yüklenmektedir. Özellikle VMware vCenter/ESXi uç noktaları, bu yazılımın etkilediği başlıca cihazlar arasında yer almaktadır. Bu cihazlarda Cloudflare, Heroku gibi meşru trafik gibi davranarak, komut ve kontrol (C2) ile iletişim kurmaktadır.
Yetki Yükseltme Çabaları
Saldırganlar, vCenter üzerinde kötü niyetli bir Java Servlet Filter olan Bricksteal aracılığıyla yetki yükseltme çabası göstermekte ve kimlik bilgilerini yakalamaya çalışmaktadırlar. Bu sürecin ardından, Windows Server VM’leri kopyalayarak gizli bilgileri çıkarmaktalar. Elde edilen kimlik bilgilerinin kullanılmasıyla, saldırganlar lateral hareket edebilmekte ve kalıcılığı artırmak adına SSH protokolünü etkin hale getirmekte, ayrıca init.d ve systemd başlangıç scriptlerini değiştirmektedirler.
E-posta Çalınması ve Gizlilik
Brickstorm’un temel hedeflerinden biri, Microsoft Entra ID Enterprise Apps aracılığıyla e-postaları dışarı sızdırmaktır. Bunun için, SOCKS proxy kullanarak iç sistemlere ve kod havuzlarına sızmakta ve bu süreçte yüksek seviyede gizlilik korumaktadır. GTIG’nin gözlemleri, UNC5221’in özellikle geliştiricilere, yönetici pozisyonundaki bireylere ve Çin’in ekonomik ve güvenlik çıkarlarıyla bağlantılı kişilere odaklandığını göstermektedir.
İzleri Silme ve İz Sürmeyi Zorlaştırma
Operasyonun sona ermesiyle birlikte, kötü amaçlı yazılım sistemden kaldırılmakta; bu da adli araştırmaları zorlaştırmaktadır. UNC5221’in, daha önce kullanılan C2 alanlarını veya kötü amaçlı yazılım örneklerini bir daha kullanmaması, bu siber saldırıların izini sürmeyi oldukça zor hale getirmektedir.
Savunma İçin Öneriler
Siber güvenlik uzmanları, bu tehditlerle başa çıkmak amacıyla çeşitli önlemler geliştirmektedirler. Mandiant, Brickstorm için Linux ve BSD cihazları için bedava bir tarayıcı scripti yayınlamıştır. Ancak bu tarayıcının her Brickstorm varyantını tespit edemeyeceği, tamamen garanti etmediği ve kalıcılık mekanizmalarını araştırmadığı konusunda uyarılarda bulunulmuştur.
Sonuç olarak, Brickstorm gibi karmaşık tehditler, siber güvenlik alanında sürekli bir tehdit oluşturmaktadır. Kuruluşların bu tür tehditleri etkili bir şekilde tespit edip, önlem almaları büyük bir önem taşımaktadır.
