Key takeaways

• BRICKSTORM-malware installeert een vrijwel onzichtbaar toegangspunt binnen de IT-infrastructuur van een bedrijf, waardoor aanvallers blijvende en geheime toegang krijgen tot specifieke gebieden of het hele netwerk, afhankelijk van de verkregen privileges.
• De malware wordt in verband gebracht met Chinese spionage en is gericht op intellectueel eigendom en handelsgeheimen van strategisch belangrijke westerse bedrijven.
• De ontdekking van de aanwezigheid van BRICKSTORM op Windows-infrastructuur onderstreept de mogelijkheid van een wijdverspreide impact.

Een Europees cyberbeveiligingsbedrijf, NVISO, heeft een nieuwe variant van de BRICKSTORM-malware ontdekt die gericht is op Windows-systemen. Deze kwaadaardige software is gelinkt aan de Chinese spionagegroep UNC5221 en heeft als doel gevoelige informatie van Westerse bedrijven te stelen door geheime toegangspunten binnen hun netwerken te creëren.

Terwijl Mandiant (een dochteronderneming van Google) BRICKSTORM eerder ontdekte op Linux-architecturen, deed NVISO’s Incident Response Team de baanbrekende ontdekking van de aanwezigheid ervan op Windows-systemen. In ten minste één geval was de malware meerdere jaren onopgemerkt actief geweest.

China’s spionageactiviteiten

China’s focus op spionageactiviteiten komt overeen met zijn nationale strategie om de economische kracht te versterken. Geavanceerde Chinese dreigingsactoren zoals UNC5221 richten zich specifiek op intellectueel eigendom en handelsgeheimen van strategisch belangrijke westerse bedrijven.

UNC5221 gebruikt geavanceerde technieken om netwerken discreet te infiltreren en gedurende langere perioden onopgemerkt te blijven. Ze maken gebruik van een combinatie van zero-day kwetsbaarheden en “backdoors” zoals de BRICKSTORM-malware. Deze kwaadaardige software installeert een vrijwel onzichtbaar toegangspunt binnen de IT-infrastructuur van een bedrijf, waardoor aanvallers blijvende en heimelijke toegang krijgen tot specifieke gebieden of zelfs het hele netwerk, afhankelijk van de verkregen privileges.

De complexiteit van de aanvalsmethoden

Door gebruik te maken van bestaande IT-structuren en legitieme tools, bewegen deze aanvallers zich bijna onzichtbaar door bedrijfsnetwerken, waarbij ze vaak lange tijd onopgemerkt blijven. Hierdoor kunnen ze toegang krijgen tot gevoelige informatie zoals onderzoeksgegevens, nieuwe productontwikkelingen, strategische bedrijfsplannen en militaire inlichtingen, die vervolgens door de Chinese staat voor commerciële of militaire doeleinden worden gebruikt.

NVISO benadrukt de alarmerende implicaties van deze ontdekking. “Gezien de methodologie van UNC5221 vermoeden we dat deze malware wijdverspreider kan zijn dan momenteel bekend is,” waarschuwt Michel Coene, Partner in het Incident Response Team van NVISO. Hij benadrukt hun geraffineerde aanpak: systemen binnendringen via onbekende kwetsbaarheden (zero-days), discreet opereren en de activiteiten van IT-teams nabootsen. Ze maken zelfs gebruik van legitieme cloudservices zoals Cloudflare en versleutelen netwerkcommunicatie om verborgen te blijven.

Het belang van waakzaamheid

De ontdekking van de aanwezigheid van BRICKSTORM op Windows-infrastructuur onderstreept de mogelijkheid van een wijdverspreide impact. NVISO heeft een gedetailleerd rapport samengesteld om bedrijven te helpen bij het detecteren van BRICKSTORM en het versterken van hun netwerkbeveiliging, met name op Windows-systemen. Ze dringen er bij alle organisaties op aan om deze informatie onmiddellijk door te nemen.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!