Cyberespionnage : le malware BRICKSTORM infiltre des entreprises américaines

Un rapport récent met en lumière une infiltration inquiétante dans les infrastructures de nombreuses entreprises américaines. Soupçonnés d’être orchestrés par des espions liés au régime chinois, ces intrus ont su rester dans l’ombre pendant plus d’un an grâce à un malware sophistiqué. Découvrez comment cette menace a pu passer inaperçue et les mesures à prendre pour se protéger.

Les 3 points clés à retenir

• Durant en moyenne 393 jours, des intrus ont infiltré des entreprises américaines grâce à un malware nommé BRICKSTORM.
• Ce logiciel malveillant utilise des portes dérobées pour maintenir un accès furtif aux systèmes compromis.
• Le groupe UNC5221, probablement lié à la Chine, est suspecté d’être derrière ces attaques.

Le mode opératoire de BRICKSTORM

Le malware BRICKSTORM est au cœur de cette campagne de cyberespionnage. Il s’agit d’un logiciel sophistiqué qui installe une porte dérobée sur les systèmes ciblés, permettant aux attaquants de garder un accès indétectable et durable. Mandiant, dans son rapport, souligne que ce malware est particulièrement difficile à détecter par les systèmes de veille classiques.

Une fois la faille exploitée par BRICKSTORM, les attaquants peuvent se déplacer latéralement dans le réseau, obtenant ainsi des identifiants valides et accédant à des systèmes critiques. Leur cible privilégiée est souvent VMware vCenter, où ils installent des outils pour assurer leur persistance et collecter davantage d’informations sensibles.

Vulnérabilités exploitées par les attaquants

Les infiltrations observées s’appuient principalement sur l’exploitation de vulnérabilités non corrigées, parfois même des failles zero-day. Ces failles sont souvent présentes sur des équipements périphériques du réseau, peu surveillés et mal inventoriés. Cette négligence facilite la tâche des attaquants, leur permettant d’accéder aux systèmes internes des entreprises.

Mandiant recommande aux organisations de vérifier attentivement leurs systèmes pour détecter toute trace de BRICKSTORM. Un scanner gratuit est d’ailleurs mis à disposition pour identifier les signatures spécifiques du malware sur les systèmes Linux et BSD.

Origines des attaques : le groupe UNC5221

Les chercheurs attribuent ces activités malveillantes au groupe UNC5221. Bien que ce groupe ne soit pas encore formellement rattaché à une entité connue, il est probablement lié à la Chine. UNC5221 est souvent associé au groupe de cyberespionnage Silk Typhoon, également connu sous le nom d’APT27.

Selon Google, ce groupe étend ses capacités, ce qui représente une menace croissante pour les entreprises ciblées. Les informations collectées lors de ces intrusions pourraient être utilisées pour développer de nouvelles vulnérabilités zero-day ou pour accéder à d’autres réseaux.

Contexte historique de Mandiant

Mandiant, une entreprise pionnière en cybersécurité, a acquis une forte renommée grâce à ses analyses approfondies des cybermenaces dans le monde entier. Fondée en 2004 par Kevin Mandia, un ancien officier de l’armée de l’air américaine, Mandiant a été rachetée par FireEye en 2013, puis est redevenue indépendante en 2021.

La société est reconnue pour ses capacités à identifier et à neutraliser des menaces complexes, et elle collabore régulièrement avec des entreprises de premier plan pour renforcer leur sécurité cybernétique. Son expertise est souvent sollicitée pour analyser et comprendre les attaques sophistiquées, comme celle orchestrée par le groupe UNC5221.