Хакеры, связанные с Китаем, предположительно успешно проникли в ряд неназванных правительственных и технологических организаций, используя продвинутое вредоносное ПО. Как сообщает Reuters, кибербезопасные агентства США и Канады подтвердили атаку, в ходе которой использовалась так называемая «дверь» (backdoor) под названием «Brickstorm» для атаки на организации, использующие платформу облачных вычислений VMware vSphere.

Как подробно описано в отчете, опубликованном Канадским центром кибербезопасности 4 декабря, хакеры, спонсируемые государством КНР, поддерживали «долгосрочный устойчивый доступ» к внутренней сети неназванной жертвы. После компрометации затронутой платформы киберпреступники смогли украсть учетные данные, манипулировать конфиденциальными файлами и создавать «незаконные, скрытые ВМ» (виртуальные машины), фактически незаметно получая контроль. Атака могла начаться еще в апреле 2024 года и продолжаться как минимум до сентября этого года.

В отчете об анализе вредоносного ПО, опубликованном Канадским центром кибербезопасности при содействии Агентства по кибербезопасности и безопасности инфраструктуры (CISA) и Агентства национальной безопасности (NSA), цитируются восемь различных образцов вредоносного ПО Brickstorm. Точное количество организаций, которые были атакованы или успешно взломаны, неизвестно.

В электронном письме Reuters представитель Broadcom, владельца VMware vSphere, заявил, что компания осведомлена о предполагаемой атаке и призвала своих клиентов загружать обновленные исправления безопасности, когда это возможно. В сентябре группа Google Threat Intelligence опубликовала свой собственный отчет о Brickstorm, в котором призвала организации «пересмотреть свои модели угроз для аппаратных средств и проводить учения по обнаружению» против указанных злоумышленников.