BRICKSTORM Malware ve Uzun Süreli Erişim Tehditleri
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çin Halk Cumhuriyeti’nden (PRC) desteklenen tehdit aktörleri tarafından kullanılan BRICKSTORM adlı bir arka kapıyı kamuoyuna duyurdu. Bu arka kapı, hedef alınan sistemlere uzun süreli erişim sağlamak için tasarlandı. CISA, BRICKSTORM’u VMware vSphere ve Windows ortamları için gelişmiş bir arka kapı olarak tanımladı ve bu yazılımın, siber tehdit aktörlerine gizli erişim sağlamanın yanı sıra güvenli komut ve kontrol (C2) imkanları sunduğunu belirtti.
BRICKSTORM’un Özellikleri
BRICKSTORM, Go programlama dilinde yazılmış bir implanttır ve siber suçlulara sistem üzerinde etkileşimli kabuk erişimi sağlar. Kullanıcıların dosyaları yükleyip, indirmesine, oluşturmasına, silmesine ve manipüle etmesine olanak tanır. Bu kötü amaçlı yazılım, hükümetler ve bilgi teknolojisi (IT) sektörlerini hedef alan siber saldırılarda yoğun olarak kullanılmaktadır. BRICKSTORM, komut ve kontrol iletişimi için HTTPS, WebSocket ve TLS gibi birden fazla protokolü desteklerken, DNS üzerinden HTTPS (DoH) kullanarak iletişimini gizleyerek normal trafikle harmanlanmasını sağlar.
CISA, kaç tane devlet dairesinin etkilendiği veya hangi tür verilerin çalındığı konusunda bilgi paylaşmamıştır. Ancak bu saldırılar, Çinli hacker gruplarının taktiksel evrimini gösterir. Bu gruplar, ağlara ve bulut altyapılarına sızmak amacıyla kenar ağ cihazlarını hedef almaya devam etmektedir.
WARP PANDA ve BRICKSTORM Kullanımı
CrowdStrike’ın araştırmalarına göre, BRICKSTORM kullanımı, özellikle Warp Panda olarak adlandırılan bir grup tarafından yürütülmektedir. Bu grup, ABD merkezli hukuki, teknoloji ve üretim sektörlerindeki VMware vCenter ortamlarına yönelik bir dizi saldırı gerçekleştirmiştir. Warp Panda, yüksek bir teknik uzmanlık ve sanal makineler konusunda derin bir bilgiye sahip bir gruptur.
BRICKSTORM’a ek olarak, bu grup, daha önce belgelenmemiş iki Golang implantı olan Junction ve GuestConduit’u da kullanmaktadır. Junction, HTTP sunucusu olarak görev yaparken, GuestConduit bir ağ trafiği tünelleme implantıdır.
Saldırganların, internet üzerinden erişilebilen kenar cihazları istismar ederek vCenter ortamlarına geçtiği ve ayrıca SSH ve vCenter yönetici hesabını kullanarak yan hareketler gerçekleştirdiği belirlenmiştir. Bu süreçte, siber suçlular bir yönetilen hizmet sağlayıcı hesabının kimlik bilgilerini elde ederek VMware vCenter sunucusuna geçiş yapmışlardır.
Sonuç ve Önlemler
CISA, BRICKSTORM’un otomatik olarak kendini yeniden kurma yeteneği gibi bir dizi özelliğe sahip olduğunu belirtiyor. Bu, onarıcı bir işlevsellik sunarak herhangi bir potansiyel kesintiye karşı sürdürülmesini sağlayan bir sistemdir. BRICKSTORM’un hedef aldığı birçok kurum ve sektör, siber güvenlik önlemlerini artırmak zorundadır. Bunun yanı sıra, şirketlerin ağ sistemlerini ve sanal ortamlarını güvence altına alması, olumsuz etkileri azaltmak adına büyük önem taşımaktadır.
Sonuç olarak, BRICKSTORM’un kullanımı, uzun süreli erişim stratejilerinin bir biçimini temsil ediyor. Bu durum, uzun vadeli gözetim ve veri toplama çabalarının arttığını göstermektedir. Dolayısıyla, güvenli bir siber ortam için sürekli izleme ve proaktif güvenlik önlemleri hayati öneme sahiptir.
