Οι εταιρείες ενδέχεται να ανακαλύψουν ίχνη μιας εκστρατείας hacking που συνδέεται με την Κίνα και παραμονεύει στα δίκτυά τους για τουλάχιστον τα επόμενα δύο χρόνια, προειδοποιεί η Google.
Την Τετάρτη, η Threat Intelligence Group της Google ανακοίνωσε ότι παρακολουθεί ένα κακόβουλο λογισμικό backdoor γνωστό ως BRICKSTORM, το οποίο έχει χρησιμοποιηθεί από hackers για να διατηρήσουν την πρόσβαση σε οργανισμούς και εταιρείες στις ΗΠΑ για 393 ημέρες κατά μέσο όρο. Ο κλάδος συμβουλευτικών υπηρεσιών για την ασφάλεια στον κυβερνοχώρο της Google, Mandiant, ανταποκρίνεται σε αυτές τις εισβολές από τον Μάρτιο του 2025.;o
Όπως μετέδωσε το gizmodo.com, οι επιθέσεις στοχεύουν σε διάφορους κλάδους, με ιδιαίτερη έμφαση στις νομικές υπηρεσίες, τους παρόχους Software-as-a-Service (SaaS), τους Business Process Outsourcers (BPOs) και τις εταιρείες τεχνολογίας. Τα στοιχεία από τις έρευνες της Google υποδηλώνουν ότι οι νομικές ομάδες στοχεύονται για πληροφορίες που σχετίζονται με την εθνική ασφάλεια των ΗΠΑ και το διεθνές εμπόριο. Οι πάροχοι SaaS χρησιμοποιούνται ως πύλη πρόσβασης στους πελάτες τους. Και οι εταιρείες τεχνολογίας στοχεύονται για την ανάλυση της πνευματικής ιδιοκτησίας, συμπεριλαμβανομένου του πηγαίου κώδικα, που θα μπορούσε να βοηθήσει στον εντοπισμό άλλων κενών ασφαλείας.
«Η αξία αυτών των στόχων υπερβαίνει τις τυπικές αποστολές κατασκοπείας, παρέχοντας ενδεχομένως δεδομένα για την ανάπτυξη zero-days και δημιουργώντας σημεία αναφοράς για ευρύτερη πρόσβαση σε κατάντη θύματα», σημειώνει η έκθεση. Μια ευπάθεια zero-day αναφέρεται σε ένα ελάττωμα ασφάλειας σε λογισμικό ή υλικό που είναι άγνωστο στους προγραμματιστές του, αφήνοντας «μηδέν ημέρες» για να το διορθώσουν πριν οι επιτιθέμενοι μπορέσουν να το εκμεταλλευτούν.
Η δραστηριότητα αποδίδεται κυρίως σε μια ομάδα που έχει ταυτοποιηθεί από την Google ως UNC5221, μαζί με άλλες στενά συνδεδεμένες ομάδες που έχουν σχέση με την Κίνα.
Η έκθεση αναφέρει ότι οι χάκερ μπορούν να παραμένουν απαρατήρητοι για μεγάλες περιόδους, επειδή εγκαθιστούν το BRICKSTORM σε συστήματα που δεν μπορούν να εκτελέσουν παραδοσιακό λογισμικό Endpoint Detection and Response (EDR) ή antivirus που χρησιμοποιείται σε συσκευές όπως υπολογιστές και smartphone.
Αντ' αυτού, στοχεύουν συσκευές δικτύου όπως δρομολογητές, τείχη προστασίας και πύλες ασφαλείας email. Στοχεύουν επίσης διαχειριστές και κεντρικούς υπολογιστές εικονικών μηχανών.
