Il gruppo di cyber spionaggio identificato come UNC5221 ha preso di mira aziende statunitensi dei settori legale, tecnologico, SaaS e Business Process Outsourcing attraverso l’impiego della backdoor BRICKSTORM, con forti indizi di collegamenti con la Cina. L’obiettivo di queste campagne è garantire un accesso persistente alle reti delle vittime, spesso mantenuto per oltre un anno senza essere rilevati. Il malware BRICKSTORM è stato progettato per raggiungere diversi scopi strategici, tra cui l’accesso a dati sensibili ospitati da fornitori SaaS, il furto di proprietà intellettuale e informazioni su sicurezza nazionale e commercio internazionale, oltre a facilitare lo sviluppo di exploit per vulnerabilità zero-day.

Caratteristiche tecniche di BRICKSTORM

BRICKSTORM, sviluppato in linguaggio Go, offre funzioni avanzate che includono la creazione di un server web, manipolazione di file e directory, esecuzione di comandi shell e funzioni da proxy SOCKS, comunicando con server di comando e controllo tramite WebSockets. La sua prima individuazione è avvenuta durante l’analisi di exploit zero-day contro dispositivi Ivanti Connect Secure, ma la sua presenza è stata confermata anche in attacchi a sistemi Windows in Europa, risalenti almeno a novembre 2022.

Persistenza e metodi di evasione

Una particolarità di questa backdoor è la sua capacità di installarsi su dispositivi che non supportano strumenti EDR tradizionali, garantendo così una permanenza silenziosa e difficile da rilevare. Gli attaccanti utilizzano anche metodi per il movimento laterale e il furto di dati che generano pochissimi segnali di sicurezza, spesso modificando la stessa backdoor per renderla ancora più invisibile. In media, BRICKSTORM resta attivo nei sistemi compromessi per 393 giorni prima di essere scoperto.

Vettori di attacco e sviluppo continuo

L’attacco sfrutta vulnerabilità note per ottenere accesso iniziale, ma in molti casi la modalità di ingresso rimane sconosciuta a causa dell’efficace cancellazione delle tracce da parte degli attori malevoli. Il malware è in costante sviluppo, come dimostra la presenza di timer di ritardo che ne posticipano l’attivazione, dimostrando un’elevata capacità di adattamento da parte degli attaccanti.

Tecniche avanzate di compromissione

Le tecniche includono anche l’uso di filtri Java Servlet malevoli per Tomcat (BRICKSTEAL) con lo scopo di carpire credenziali vCenter e duplicare macchine virtuali strategiche. L’installazione di questi filtri avviene interamente in memoria, senza necessità di riavviare i servizi, aumentando la furtività. Altre strategie prevedono la modifica di file di avvio su sistemi Linux e BSD per garantire la persistenza della backdoor anche dopo il riavvio.

Rilevamento e impatto

Google ha rilasciato uno script di scansione open source per aiutare le aziende a individuare eventuali infezioni BRICKSTORM, anche se il rilevamento non è garantito in tutti i casi. Questa campagna rappresenta una minaccia significativa per la sicurezza aziendale, grazie alla sua sofisticazione, capacità di evasione e attenzione a obiettivi di alto valore.