A Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Agência de Segurança Nacional (NSA), juntamente com as autoridades cibernéticas canadenses, emitiram um alerta conjunto sobre uma nova e sofisticada campanha de malware chamada “BRICKSTORM”.
De acordo com a assessoria lançadohackers patrocinados pelo Estado da República Popular da China (RPC) estão usando ativamente esta ferramenta para se infiltrar e se esconder dentro de redes governamentais e tecnológicas críticas.
O alerta descreve o BRICKSTORM como um perigoso “backdoor”, um tipo de software malicioso que funciona como um mecanismo de desbloqueio secreto, permitindo que os invasores retornem ao sistema da vítima sempre que desejarem.
O malware foi projetado especificamente para atingir o VMware vSphere, um software amplamente utilizado para executar servidores virtuais, bem como Windows ambientes.
As autoridades afirmaram que o objetivo principal da campanha é a espionagem. Ao atacar o software subjacente que gerencia servidores corporativos (especificamente VMware vCenter e ESXi), os invasores podem efetivamente se tornar “fantasmas” na máquina.
Eles podem monitorar atividades, roubar dados confidenciais e até copiar “instantâneos” inteiros de servidores para extrair senhas e chaves criptográficas sem acionar alarmes de segurança padrão.
Como funciona o ataque
O relatório revela que estes ataques são altamente calculados. Num caso confirmado, os hackers conseguiram entrar na rede de uma vítima já em abril de 2024 e permaneceram sem serem detectados até setembro de 2025.
Inicialmente, eles invadiram um servidor web vulnerável e depois se moveram lateralmente pela rede usando senhas roubadas. Uma vez lá no fundo, eles plantaram o TEMPESTADE DE TIJOLOS malware.
O que torna o BRICKSTORM particularmente difícil de detectar é sua capacidade de se misturar. O malware usa técnicas complexas de criptografia para ocultar suas comunicações.
Ele disfarça seus comandos como tráfego normal da web ou conexões seguras à Internet, fazendo com que pareça uma atividade comercial regular para os defensores da rede.
Ele também possui um recurso de “auto-observação”. Se um programa de segurança tentar interrompê-lo ou excluí-lo, o BRICKSTORM poderá se reinstalar e reinicializar automaticamente, garantindo que os invasores nunca percam sua posição.
As agências alertaram que esta campanha tem como alvo os “Serviços e Instalações Governamentais” e os sectores de “Tecnologia da Informação”.
O impacto de uma infecção bem-sucedida pode ser grave. Nos ataques analisados, os hackers roubaram chaves digitais críticas, permitindo-lhes fazer-se passar por utilizadores legítimos e aceder a áreas altamente restritas da rede.
A CISA e a NSA estão a apelar a todas as organizações, especialmente aquelas em infra-estruturas críticas, para procurarem imediatamente nas suas redes sinais desta ameaça específica.
As agências divulgaram “assinaturas” técnicas, impressões digitais que as equipes de segurança podem usar para identificar o malware.
Os administradores são aconselhados a atualizar seus VMware produtos imediatamente, limitar estritamente o acesso aos sistemas de gerenciamento e monitorar qualquer atividade incomum na conta. “
Esta é uma ferramenta de persistência de longo prazo”, conclui o alerta, alertando que a simples remoção da infecção inicial pode não ser suficiente se os invasores já tiverem penetrado profundamente na infraestrutura de virtualização.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.