US- und kanadische Cybersicherheitsbehörden warnten, dass mit China verbundene Akteure einen ausgeklügelten Backdoor namens BRICKSTORM eingesetzt haben, um anhaltenden Zugriff auf Regierungs- und IT-Umgebungen, einschließlich VMware vSphere-Instanzen, zu gewährleisten. Die gemeinsame NSA/CISA-Warnung liefert Indikatoren für Kompromittierungen, Erkennungsleitlinien und drängt dazu, Patches einzuspielen, nach Artefakten zu suchen und Kompromittierungen zu melden.

US- und kanadische Cyberbehörden veröffentlichten eine gemeinsame Warnung, die BRICKSTORM beschreibt, ein heimliches Backdoor, das von China-nahen Akteuren genutzt wird, um langfristig in Regierungs- und Unternehmens-IT-Umgebungen präsent zu sein. Die Warnung dokumentiert Techniken für den Erstangriff, Persistenzmechanismen, die auf VMware vSphere-Infrastrukturen abzielen, sowie Maßnahmen nach der Kompromittierung wie das Sammeln von Zugangsdaten, Datenexfiltration und Werkzeuge, die zukünftige Störungen oder Sabotage ermöglichen könnten. Die Behörden lieferten detaillierte Indikatoren für Kompromittierungen und Erkennungsmaßnahmen mit dem Ziel der Protokollprüfung, Artefakt-Suche und Analyse des Netzwerkverhaltens. Organisationen werden dringend aufgefordert, verfügbare Patches anzuwenden, betroffene Systeme zu isolieren und Vorfälle den nationalen Cyberzentren zu melden, um eine koordinierte Reaktion und Attribution zu unterstützen. Die Warnung betont die Gefahr kompromittierter Verwaltungs-Ebenen der Virtualisierung, die viele gehostete Workloads und Zugangsdaten exponieren können. Sie enthält außerdem empfohlene Gegenmaßnahmen wie Mehrfaktor-Authentifizierung, Beschränkungen privilegierter Zugriffe und verstärkte Überwachung zur Erkennung lateraler Bewegungen. Die Warnung stellt BRICKSTORM als strategische Bedrohung dar, die das operationelle Risiko für kritische Infrastrukturen und sensible Regierungsdaten erhöht, und fordert schnelle Behebung und Informationsaustausch, um hartnäckige feindliche Fußfassen zu begrenzen.