Un grup de spionaj cibernetic legat de China a fost observat utilizând o variantă BSD a unui backdoor cunoscut, BRICKSTORM, precum și două alte familii de malware, PLENET (cunoscut și ca GRIMBOLT) și AGENTPSD, pentru a ataca sistemele Linux. Activitatea a fost atribuită de cercetătorii Volexity unui cluster de amenințări pe care îl urmăresc sub numele VerdantBamboo, despre care se crede că se suprapune cu alte grupuri de hackeri precum Clay Typhoon (conform denumirii Microsoft).
Ce este BRICKSTORM și cum a evoluat?
BRICKSTORM este un backdoor care a fost observat anterior în atacuri asupra sistemelor BSD. Acum, grupul VerdantBamboo l-a adaptat pentru a funcționa pe dispozitive Linux, extinzându-și arsenalul. Varianta BSD a fost descoperită recent de Volexity, care a analizat mostre de malware utilizate în campanii de spionaj cibernetic.
Alte malware-uri în arsenal: PLENET și AGENTPSD
Pe lângă BRICKSTORM, cercetătorii au identificat și PLENET (alias GRIMBOLT) și AGENTPSD. Aceste amenințări sunt utilizate pentru a menține accesul la sistemele compromise, a fura date și a se deplasa lateral în rețele. Se pare că grupul vizează în principal organizații guvernamentale și din sectorul tehnologic.
Cum vă puteți proteja?
Deși detaliile tehnice specifice nu au fost publicate integral, este esențial ca administratorii de sisteme Linux să mențină sistemele actualizate, să implementeze autentificare cu doi factori și să monitorizeze traficul de rețea pentru activități suspecte. De asemenea, se recomandă utilizarea unor soluții de securitate capabile să detecteze comportamente anormale specifice backdoor-urilor.
Concluzii
Descoperirea Volexity subliniază că actorii cibernetici chinezi continuă să își diversifice instrumentele și să vizeze platforme alternative (Linux) pentru a-și atinge obiectivele de spionaj. Monitorizarea atentă a acestor amenințări și actualizarea măsurilor de securitate sunt cruciale.