Cybersecurityspecialist Nviso heeft een nieuwe variant van de Brickstorm-malware ontdekt. De schadelijke software is gelinkt aan de Chinese spionagegroep UNC5221 en installeert een achterdeur in netwerksystemen die vervolgens wordt ingezet om te spioneren bij Westerse bedrijven.
Brickstorm werd eerder door Mandiant (onderdeel van Google) ontdekt op Linux-architectuur. Onderzoekers van het incident-responseteam van Nviso ontdekten de malware nu naar eigen zeggen voor het eerst ook op Windows-systemen. Bij minstens één bedrijf was de malware al meerdere jaren actief.
De ontdekking van deze Windows-variant van Brickstorm is zorgwekkend en de impact valt niet te onderschatten, oppert Michel Coene van Nviso. Bij geavanceerde Chinese spionageactoren zoals UNC5221 gaat het om het stelen van intellectuele eigendom en handelsgeheimen bij strategische Westerse bedrijven. ‘Gezien de methodologie van UNC5221 vermoeden we dat deze malware breder verspreid is dan vandaag bekend.’
Discretie loont
De aanpak van groepen als UNC5221 is evenwel bekend. ‘Ze dringen vaak via onbekende kwetsbaarheden (zero-days) binnen en vanuit daar werken de aanvallers uiterst discreet en imiteren ze de normale activiteiten van it-teams. Zo maken ze misbruik van legitieme clouddiensten zoals Cloudflare en versleutelen ze de netwerkcommunicatie om zo maximaal onder de radar te blijven’, stelt Coene.
De geduldige en discrete aanpak, vaak gelinkt aan Chinese groeperingen, werpt dikwijls zijn vruchten af. ‘Zo kunnen ze toegang krijgen tot bestanden en applicaties en gevoelige informatie zoals onderzoeksgegevens, nieuwe productontwikkelingen, strategische bedrijfsplannen of militaire informatie buitmaken’, stelt hij. ‘Die worden vervolgens voor commerciële of militaire doeleinden ingezet door de Chinese staat.’
