Група розвідки загроз Google повідомила, що шкідливе програмне забезпечення BRICKSTORM, пов’язане з Китаєм, у середньому зберігає доступ до жертв 393 дні. Про це пише Gizmodo.
Що сталося
Компанія Google зафіксувала масштабну хакерську кампанію, яку пов’язує з угрупованням UNC5221 та іншими китайськими кластерами. Зловмисники використовують бекдор BRICKSTORM для тривалого доступу до мереж організацій у США. У середньому вони залишаються непоміченими понад рік.
Атаки спрямовані на юридичні компанії, постачальників SaaS, BPO-операторів та технологічні фірми. За даними Google, ці цілі важливі для збору інформації про національну безпеку США, міжнародну торгівлю та інтелектуальну власність. Хакери обходять антивірус і EDR, атакуючи маршрутизатори, брандмауери, поштові шлюзи та сервери віртуалізації, зокрема VMware vCenter і ESXi.
Що далі
Консалтингова компанія Mandiant, яка належить Google, випустила безплатний сканер для пошуку активності BRICKSTORM. Експерти очікують, що в найближчі два роки компанії масово виявлятимуть сліди зараження. За словами директора з технологій Mandiant Чарльза Кармакала, кампанія ще довго залишатиметься загрозою, а нові подробиці відкриватимуться у міру розкриття жертвами фактів компрометації.