Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint à la Cybersecurity and Infrastructure Security Agency (CISA) et à la National Security Agency (NSA) des États-Unis pour publier un rapport d’analyse sur le maliciel Brickstorm.
Ce rapport conjoint met en évidence le fait que des auteurs de menace parrainés par la République populaire de Chine (RPC) exploitent le maliciel Brickstorm afin d’assurer une persistance à long terme sur les systèmes de leurs victimes. Ces activités ont principalement été observées sur des installations et des services gouvernementaux ainsi qu’au sein d’organisations du secteur des technologies de l’information. Le rapport fournit également des indicateurs de compromission et des signatures de détection basés sur l’analyse de huit échantillons de Brickstorm.
Le maliciel Brickstorm est une porte dérobée sophistiquée pour les environnements Linux, particulièrement les serveurs VMware vCenter, VMKernel (VMware ESXI) et Windows. On a observé que des auteurs de menace parrainés par la RPC ciblaient les plateformes VMware vSphere. Après la compromission, les auteurs de menace peuvent se servir de leur accès à vCenter pour voler des instantanés de machines virtuelles clonées afin d’extraire des justificatifs d’identité et de créer de fausses machines virtuelles cachées de la console de gestion du vCenter.
Nous exhortons les organisations à se baser sur les signatures de détection et les indicateurs de compromission présentés dans ce rapport d’analyse de maliciel pour détecter tout échantillon du maliciel Brickstorm.
Lisez la version intégrale de la publication conjointe : Rapport d’analyse sur un maliciel – Porte dérobée de Brickstorm (en anglais seulement).