Agências de cibersegurança norte-americanas e canadianas confirmaram a descoberta de uma campanha de espionagem sofisticada, onde hackers com alegadas ligações estatais à China comprometeram diversas entidades governamentais e tecnológicas. Conforme reportado pela Reuters, o vetor deste ataque foi um backdoor avançado denominado "Brickstorm", desenhado especificamente para atingir organizações que utilizam a plataforma de computação na nuvem VMware vSphere.
Esta operação permitiu aos cibercriminosos infiltrar-se em redes internas críticas, mantendo um perfil discreto enquanto exfiltravam informações sensíveis. A descoberta sublinha a evolução contínua das ameaças persistentes avançadas (APTs) e o foco crescente em infraestruturas de virtualização como alvos de alto valor.
Máquinas virtuais fantasma e controlo total
Os detalhes técnicos desta intrusão foram expostos num relatório de análise de malware publicado ontem, 4 de dezembro, pelo Centro Canadiano de Cibersegurança, com o apoio da CISA e da NSA. Segundo o documento, os hackers patrocinados pelo estado chinês conseguiram manter um "acesso persistente a longo prazo" nas redes das vítimas, que não foram identificadas publicamente.
O aspeto mais alarmante do malware Brickstorm é a sua capacidade de manipulação do ambiente virtual. Após comprometerem a plataforma vSphere, os atacantes conseguiram roubar credenciais, manipular ficheiros sensíveis e, mais impressionante, criar "VMs fraudulentas e ocultas" (máquinas virtuais). Estas máquinas operavam de forma invisível para os administradores de sistemas, permitindo aos invasores executar comandos e armazenar dados roubados sem levantar suspeitas nos painéis de controlo habituais.
Cronologia do ataque e resposta das empresas
A investigação sugere que este ataque pode ter tido início em abril de 2024, estendendo-se pelo menos até setembro deste ano. Embora o relatório cite oito amostras diferentes do malware Brickstorm, ainda não é claro o número total de organizações que foram alvo ou efetivamente penetradas por esta campanha.
Em resposta às alegações, um porta-voz da Broadcom, empresa proprietária da VMware vSphere, confirmou estar a par do incidente e incentivou todos os clientes a descarregarem e instalarem os patches de segurança mais recentes sempre que possível. Curiosamente, a Google Threat Intelligence Group já tinha publicado o seu próprio relatório sobre o Brickstorm em setembro, instando as organizações a reavaliarem os seus modelos de ameaça para estes equipamentos e a realizarem exercícios de "caça" a ameaças nas suas redes.
Nenhum comentário
Seja o primeiro!