中共黑客入侵图。(Grok AI制图)
【人民报消息】美国网路安全与基础设施安全局(CISA)、美国国家安全局(NAS)与加拿大网路安全中心(CCCS)星期四(12月4日)联合发布有关BRICKSTORM(砖风暴)的警示及分析报告,详细披露中共政府支持的黑客展开广泛行动,利用这种恶意软体长期持久攻击受害者的网路系统。
据美国之音报导,美国网路安全与基础设施安全局在星期四的一项声明中说,该局“了解到中华人民共和国(PRC)支持的黑客组织正利用BRICKSTORM恶意软体持续入侵受害者系统,以实现长期驻留。BRICKSTORM是一种针对VMware vSphere和Windows环境的复杂后门程序。受害组织主要集中在政府服务与设施以及信息技术领域。”
声明举例说,在一次已确认的入侵事件中,中共政府支持的黑客访问了某组织的非军事区(DMZ)内的网路伺服器,横向移动到一台内部VMware vCenter伺服器,然后植入了BRICKSTORM恶意软体。
美国网路安全与基础设施安全局还说:“在获得受害者系统的访问许可权后,受PRC政府支持的网路行为者会通过执行系统备份或捕获活动目录(Active Directory)资料库信息来获取并使用合法凭证,从而窃取敏感信息。网路行为者随后把目标对准VMware vSphere平台,窃取克隆的虚拟机(VM)快照以提取凭证,并创建隐藏的恶意虚拟机,以逃避检测。”
美加网路安全机构在他们的报告中没有披露这些具体受害组织的名称,但指出它们都是“政府和关键基础设施组织”。
美国政府表示,近年来与中共政府有关的黑客对一系列美国和其他国家的电信公司、网路服务提供商和其它敏感目标进行了攻击。
美国国家安全局在星期四的声明中鼓励各组织,“特别是那些在关键基础设施、政府服务和设施以及信息技术领域内”组织,使用分析报告所列出的“入侵指标”(IOC)和检测特征来检测BRICKSTORM的后门活动。该机构呼吁各组织如检测到BRICKSTORM、类似恶意软体或潜在的相关活动,应立即报告入侵事件。
△
