## BrickStorm Malware Nedir?
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çinli hackerların VMware vSphere sunucularını hedef alarak Brickstorm adında bir zararlı yazılım kullanmaya başladığını duyurdu. CISA, birlikte çalıştığı Ulusal Güvenlik Ajansı (NSA) ve Kanada Siber Güvenlik Merkezi ile birlikte, Brickstorm zararlı yazılım örneklerini inceleyerek bu tehditin ciddiyetini ortaya koydu. Analiz sonuçlarına göre, bu zararlı yazılım, tespit edilmeden sanal makinelerin kullanılmasını sağlamak için özel olarak tasarlanmış.
## BrickStorm’un İşleyişi
Brickstorm, iletişim kanallarını güvence altına almak için çok katmanlı şifreleme teknikleri kullanır. HTTPS, WebSockets ve iç içe geçmiş TLS gibi yöntemler ile saldırganlar, sızdıkları ağlarda daha fazla hareket edebilmek için SOCKS proxy ve DNS-over-HTTPS (DoH) kullanıyor. Ayrıca, zararlı yazılımın varlığını sürdürebilmesi için otomatik yeniden yüklenme özelliği bulunuyor, bu da saldırganların sistemden çıkarılsa bile tekrar geri yüklenmesini sağlıyor.
### Saldırı Senaryosu
CISA’nın raporuna göre, Çinli hackerlar bir organizasyonun demilitarize bölgesindeki web sunucusunu Mayıs 2024’te ele geçirdi. Ardından, iç ağda yer alan VMware vCenter sunucusuna geçiş yaptılar ve burada Brickstorm’u kurdular. İki alan denetleyicisini hackledikten sonra, şifreleme anahtarlarını dışarı aktardılar. Bu süreçte, kurumsal ağda uzun süre kalabilmek için sistemlere girerek, Aktif Dizin veritabanı bilgilerini yakaladı ve yedekleme işlemleri ile meşru kimlik bilgileri gibi hassas verileri çalmaya başladılar.
## Korunma Yöntemleri
CISA, kritik altyapı ve hükümet organizasyonlarında çalışan ağ savunucularına, Brickstorm arka kapı faaliyetlerini tespit etmek için YARA ve Sigma kurallarını kullanmalarını öneriyor. Ayrıca, yetkisiz DNS-over-HTTPS sağlayıcılarını ve dış trafiği engellemeleri öneriliyor. Ağdaki tüm kenar cihazlarının envanterini almak ve şüpheli aktiviteleri izlemek de önemli. Ağın segment edilmesi, demilitarize bölgelerle iç ağlar arasındaki trafiği kısıtlamak için kritik bir öneme sahip.
## Güncel Tehditler ve BİLGİSAYAR Güvenliği İhtiyacı
Günümüzde, Brickstorm’un yanı sıra diğer zararlı yazılımlar da ağ güvenliğini tehdit ediyor. CrowdStrike isimli siber güvenlik firması, Brickstorm’un ABD’li hukuk, teknoloji ve üretim firmalarının ağına yönelik saldırılarda kullanıldığını bildirdi. Google Tehdit İstihbarat Grubu tarafından yayımlanan son raporlar, bu tehditlerin uzun süreli kalıcılığını ve hedeflerine ulaşmadaki başarısını gözler önüne seriyor.
CISA, bir organizasyonda Brickstorm ya da benzeri bir aktivite tespit edildiğinde, bu durumun yasal gerekliliklerle uyumlu olarak rapor edilmesi gerektiğini vurguluyor. Siber tehditlerin boyutu ve karmaşıklığı göz önüne alındığında, bu tür uyarıların dikkate alınması kritik önem taşıyor.
