Google alerte sur un nouveau malware nommé Brickstorm malware qui, selon ses analyses, a permis le vol de données auprès d’entreprises américaines dans les secteurs juridique, technologique, SaaS et de l’externalisation des processus métier pendant plus d’un an.
Enquête de Google et UNC5221 : Brickstorm malware a visé des entreprises américaines pendant plus d’un an
Le Threat Intelligence Group de Google (GTIG) a attribué la campagne aux acteurs dénommés UNC5221, un groupe supposé en lien avec la Chine, connu pour ses opérations furtives et sa persistance à long terme. Selon les chercheurs, les victimes comprenaient des cabinets d’avocats, des entreprises technologiques, des fournisseurs SaaS et des prestataires d’externalisation, secteurs offrant des accès à des informations sensibles et à des chaînes clientes.
Les opérateurs ont d’abord exploité des vulnérabilités zero-day dans des appareils Linux et des appliances basées sur BSD, des équipements souvent oubliés des inventaires et exclus de la journalisation centrale. Ces périphériques périphériques ont servi de point d’appui pour implanter Brickstorm et étendre l’intrusion dans les environnements visés.
Techniques d’intrusion, pertes de données et durée de présence
Une fois implanté, UNC5221 a utilisé Brickstorm pour se déplacer latéralement, collecter des identifiants et exfiltrer des données tout en générant peu de télémétrie détectable. Dans plusieurs cas, le logiciel malveillant est resté indétecté pendant plus d’un an ; la durée moyenne de présence (dwell time) rapportée était de 393 jours.
Les attaquants ont fréquemment pivoté depuis des équipements périphériques vers des environnements virtualisés : VMware vCenter et des hôtes ESXi ont été ciblés après le vol d’identifiants, permettant le déploiement de Brickstorm et l’escalade de privilèges. Pour conserver leur accès, ils ont modifié des scripts de démarrage et déployé des webshells autorisant l’exécution de commandes à distance.
Par ailleurs, UNC5221 a cloné des machines virtuelles sensibles sans les mettre sous tension, technique destinée à éviter le déclenchement des outils de sécurité et à minimiser les traces opérationnelles. Les objectifs apparents de la campagne couvrent l’espionnage géopolitique, le vol de propriété intellectuelle et l’établissement d’un accès durable aux infrastructures ciblées.
Le ciblage de cabinets juridiques a conduit les chercheurs à suspecter un intérêt pour des sujets liés à la sécurité nationale américaine et aux échanges commerciaux. L’attaque contre des fournisseurs SaaS pourrait avoir servi à pivoter ensuite vers les environnements clients de ces fournisseurs.
Recommandations opérationnelles de Mandiant pour contrer Brickstorm malware
Face à la discipline opérationnelle des attaquants, Mandiant préconise une approche de threat hunting fondée sur les tactiques, techniques et procédures (TTP) plutôt que sur des indicateurs atomiques, qui se sont révélés insuffisants. L’accent est mis sur des contrôles et des procédures capables d’identifier des comportements plutôt que des signatures statiques.
- Maintenir et mettre à jour les inventaires d’actifs pour inclure les appliances, équipements Linux et systèmes BSD souvent négligés.
- Surveiller le trafic et les logs des appliances afin de détecter des mouvements latéraux ou des activités anormales.
- Renforcer l’authentification en déployant systématiquement l’authentification multifacteur pour les accès administratifs et les services critiques.
- Procéder à des chasses aux menaces basées sur les TTP connus d’UNC5221 et partager les enseignements au sein des équipes de sécurité.
Les chercheurs insistent sur la nécessité de combiner une meilleure visibilité des actifs et des flux réseau avec des pratiques d’authentification renforcées pour réduire les risques de compromission similaire à l’avenir.