Агентства по кибербезопасности США и Канады предупредили, что злоумышленники, связанные с Китаем, развернули сложный бэкдор под названием BRICKSTORM для поддержания постоянного доступа к правительственным и ИТ‑средам, включая инстансы VMware vSphere. Совместное консультативное сообщение NSA и CISA содержит индикаторы компрометации, рекомендации по обнаружению и призывает к установке патчей, поиску артефактов и сообщению о компрометациях.

Киберведомства США и Канады выпустили совместное предупреждение, описывающее BRICKSTORM — малозаметный бэкдор, используемый акторами, связанными с Китаем, для установления долгосрочного присутствия в государственных и коммерческих ИТ-средах. В предупреждении документируются методы начального вторжения, механизмы сохранения присутствия, нацеленные на инфраструктуру VMware vSphere, и действия после компрометации, такие как сбор учетных данных, эксфильтрация данных и использование инструментов, которые могут обеспечить будущие нарушения или саботаж. Ведомства представили подробные индикаторы компрометации и шаги по обнаружению, направленные на анализ логов, поиск артефактов и анализ поведения в сети. Организации призываются устанавливать доступные исправления, изолировать затронутые системы и сообщать об инцидентах в национальные киберцентры для поддержки скоординированного реагирования и атрибуции. В предупреждении подчеркивается опасность компрометации плоскостей управления виртуализацией, что может подвергнуть риску множество размещенных рабочих нагрузок и учетных данных. Также приведены рекомендуемые меры смягчения, такие как многофакторная аутентификация, ограничения привилегированного доступа и усиленный мониторинг для обнаружения латерального перемещения. В документе BRICKSTORM характеризуется как стратегическая угроза, повышающая операционный риск для критической инфраструктуры и конфиденциальных государственных данных, и призывается к быстрому устранению последствий и обмену информацией для ограничения устойчивых плацдармов противника.