Le spécialiste belge en cybersécurité Nviso a découvert une nouvelle variante Windows du logiciel malveillant Brickstorm. Le logiciel malveillant est lié à un groupe d’espionnage chinois.
Nviso, un spécialiste européen de la sécurité fondé en Belgique, publie un rapport sur Brickstorm, un logiciel malveillant utilisé à des fins d’espionnage. Le logiciel malveillant a été découvert pour la première fois sur des appareils Windows. Le logiciel malveillant est lié au groupe de pirates informatiques chinois UNC5221. Selon Nviso, le logiciel malveillant était actif depuis plusieurs années dans au moins une entreprise.
De Linux à Windows
Brickstorm n’est pas un virus malveillant inconnu et a déjà été identifié sur des systèmes Linux. Maintenant, le logiciel malveillant cible également Windows. Selon l’équipe de recherche de Nviso, il s’agit d’une porte dérobée sophistiquée qui permet aux attaquants d’accéder à long terme aux réseaux internes.
Cet accès est exploité pour des activités d’espionnage au sein d’organisations occidentales. Le logiciel malveillant était actif depuis plusieurs années dans au moins une entreprise affectée sans être détecté.
La campagne d’espionnage est attribuée à UNC5221, un groupe qui, selon Nviso, a probablement des liens avec le gouvernement chinois. Ce dernier considère la croissance économique comme une priorité dans sa stratégie de sécurité nationale. Cela explique les efforts ciblés pour collecter la propriété intellectuelle et les informations stratégiques auprès d’entreprises étrangères.
Contournement de la détection
Le logiciel malveillant Brickstorm exploite des vulnérabilités zero-day, mais abuse également des structures informatiques existantes et des outils logiciels légitimes. Cela rend difficile pour les équipes de sécurité de détecter la présence des attaquants. Le logiciel malveillant installe une porte d’accès cachée dans le réseau de l’entreprise, permettant d’extraire des informations sensibles telles que des données de recherche, des développements de produits ou des documents stratégiques.
Les informations volées sont ensuite utilisées à des fins commerciales ou militaires. Les acteurs chinois ciblent régulièrement des objectifs occidentaux et le but est souvent l’espionnage. La découverte de Nviso souligne l’importance d’une surveillance continue et d’une analyse forensique pour identifier en temps opportun les attaques prolongées et ciblées.