أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA تفاصيل جديدة حول برمجية خبيثة تحمل اسم BRICKSTORM، استخدمها مهاجمون مدعومون من الدولة في الصين للحفاظ على وصول طويل الأمد إلى أنظمة أميركية حساسة. هذه البرمجية، المكتوبة بلغة Golang، صُممت خصيصًا لاستهداف بيئات VMware vSphere وأنظمة Windows، وتتيح للمهاجمين وصولًا خفيًا ومستمرًا مع قدرات واسعة للتحكم عن بُعد.
قدرات متقدمة للتخفي والسيطرة
بحسب تقرير CISA، تمنح BRICKSTORM المهاجمين وصولًا تفاعليًا إلى النظام، مع إمكانية تصفح الملفات ورفعها وتنزيلها وإنشائها وحذفها. كما تدعم بروتوكولات متعددة مثل HTTPS وWebSockets وTLS المتداخل، إضافة إلى DNS-over-HTTPS لإخفاء الاتصالات ضمن حركة المرور الطبيعية، فضلًا عن عملها كوكيل SOCKS لتسهيل الحركة الجانبية داخل الشبكات. هذه القدرات تجعلها أداة مثالية للتجسس طويل الأمد.
خلفية عن الهجمات وسلاسل الاختراق
تم توثيق BRICKSTORM لأول مرة عام 2024 من قبل Google Mandiant في هجمات استغلت ثغرات يوم الصفر في Ivanti Connect Secure. وقد نُسب استخدامها إلى مجموعات مثل UNC5221 وخصم جديد مرتبط بالصين يُعرف باسم Warp Panda. هذه المجموعات استهدفت قطاعات قانونية وتقنية وخدمات SaaS في الولايات المتحدة، مع تركيز واضح على المؤسسات ذات البنية السحابية المعقدة.
أساليب الوصول والحركة الجانبية
تشير التحقيقات إلى أن المهاجمين تمكنوا من الوصول إلى خوادم في مناطق DMZ عبر web shells، ثم تحركوا جانبيًا إلى خوادم VMware vCenter لزرع BRICKSTORM. كما استغلوا بروتوكولات مثل RDP وSMB للحصول على بيانات Active Directory، واستخدموا حسابات مزوّدي خدمات لإدارة القفز بين الخوادم. من أبرز تقنياتهم أيضًا زرع برمجيات إضافية مثل Junction وGuestConduit، وهي أدوات جديدة بلغة Golang تتيح التحكم في حركة المرور بين الأجهزة الافتراضية والأنظمة المضيفة.
أهداف استراتيجية طويلة الأمد
بحسب تحليل CrowdStrike، تُظهر مجموعة Warp Panda مستوى عاليًا من الاحترافية والقدرة على التخفي، مع تركيز على الوصول المستمر إلى الشبكات الأميركية لدعم جهود جمع المعلومات الاستخباراتية المرتبطة بالمصالح الاستراتيجية الصينية. وقد شملت أنشطتهم استغلال بيئات Microsoft Azure للوصول إلى بيانات مخزنة في OneDrive وSharePoint وExchange، إضافة إلى استخدام تقنيات متقدمة مثل إعادة تشغيل الجلسات للحصول على ملفات حساسة.
