Segundo um relatório do Google Threat Intelligence Group (GTIG), esta campanha de ciberespionagem visa o roubo de dados sensíveis a longo prazo. Os alvos incluem também fornecedores de software como serviço (SaaS) e empresas de outsourcing de processos de negócio (BPOs), o que representa um risco acrescido para toda a cadeia de abastecimento digital. Os investigadores atribuem estes ataques ao grupo UNC5221, já conhecido por explorar vulnerabilidades de dia-zero em sistemas Ivanti.

Como funciona o ataque silencioso do Brickstorm?

O Brickstorm é um backdoor desenvolvido na linguagem de programação Go, que lhe confere versatilidade para atuar como servidor web, ferramenta de manipulação de ficheiros, retransmissor SOCKS e executor de comandos remotos. O método de entrada inicial não foi determinado com total certeza, devido às táticas anti-forenses dos atacantes, mas suspeita-se que a exploração de vulnerabilidades em dispositivos de rede periféricos seja o ponto de partida.

Microsoft e Cloudflare desmantelam rede de phishing RaccoonO365

Uma vez na rede, o malware é implementado em sistemas que geralmente não suportam soluções de Deteção e Resposta de Endpoint (EDR), como endpoints VMware vCenter/ESXi. Para evitar a deteção, a sua comunicação com os servidores de comando e controlo (C2) é disfarçada para se assemelhar a tráfego legítimo de serviços como a Cloudflare ou a Heroku.

O objectivo: roubo de dados e persistência a longo prazo

Com um pé dentro do sistema, o grupo UNC5221 foca-se em escalar privilégios. Para isso, utiliza ferramentas como um filtro Java Servlet malicioso (Bricksteal) no vCenter para capturar credenciais. Os atacantes chegam a clonar máquinas virtuais do Windows Server para extrair segredos e informações valiosas.

As credenciais roubadas são depois usadas para se moverem lateralmente pela rede e garantir a sua persistência, por exemplo, ativando o acesso SSH nos sistemas ESXi e modificando scripts de arranque. O objectivo final do Brickstorm é a exfiltração de dados, com um foco particular em emails, através de aplicações empresariais do Microsoft Entra ID, e no acesso a repositórios de código internos.

A investigação da Google indica que o grupo tem um interesse especial em programadores, administradores de sistemas e indivíduos ligados aos interesses económicos e de segurança da China. No final da operação, o malware é meticulosamente removido para dificultar qualquer investigação forense.

A defesa: Mandiant lança ferramentas para detectar a ameaça

Para ajudar as organizações a defenderem-se, a Mandiant, uma subsidiária da Google, lançou um script de verificação gratuito que replica uma regra YARA para detetar o Brickstorm em equipamentos Linux e BSD. O relatório inclui ainda regras YARA específicas para as ferramentas Bricksteal e Slaystyle.

No entanto, a Mandiant alerta que o seu scanner pode não detetar todas as variantes do malware, não garante uma deteção de 100% e não verifica os mecanismos de persistência utilizados pelos atacantes, servindo como uma primeira linha de defesa contra esta ameaça sofisticada e silenciosa.