Китайские хакеры нарушили защиту корпораций по всему миру

Китайская хакерская группировка UNC5221 продолжает наращивать мощь, развернув новую волну атак с использованием вредоносной программы BRICKSTORM. С конца 2022 года она была направлена в основном на Linux-серверы, однако теперь злоумышленники адаптировали её для Windows, что значительно расширяет географию и масштабы атак. Эта программа использует сложные методы обхода защиты, включая туннелирование трафика и многослойное шифрование, чтобы скрыться от традиционных средств безопасности.

Новейшая версия BRICKSTORM, написанная на Go, включает модуль для работы с протоколами RDP и SMB с использованием похищенных данных. Злоумышленники теперь могут более гибко обходить средства мониторинга, подстраиваясь под условия сетевой инфраструктуры жертвы. Вместо стандартных DoH-запросов, как в старых версиях, они переключаются между прямыми IP-адресами и DoH, создавая ещё большие сложности для обнаружения атаки.

Особенностью BRICKSTORM является трёхслойная архитектура шифрования, которая использует легитимные HTTPS-сессии и сложные TLS-рукопожатия для скрытия управленческих данных. Этот подход позволяет хакерам оставаться невидимыми даже при перехвате внешнего трафика. Внутреннее управление осуществляется с помощью технологий от HashiCorp, что делает эту программу практически неуязвимой для большинства систем защиты.

Специалисты по кибербезопасности рекомендуют организациям использовать многоуровневую защиту для борьбы с BRICKSTORM. Среди рекомендаций — блокировка DoH-провайдеров, регулярная проверка TLS-сессий, а также использование многофакторной аутентификации. Важно помнить, что такая угроза имеет государственное происхождение, и её цели — не просто хакерская деятельность, а промышленный шпионаж, направленный на добычу технологических секретов.