CISA warnt vor BRICKSTORM: Chinesische Cyberwaffe infiltriert kritische Infrastrukturen

Die US-Cybersicherheitsbehörde CISA warnt eindringlich vor einer raffinierten Malware-Kampagne aus China. Die Backdoor BRICKSTORM ermöglicht es Angreifern, sich über Monate hinweg unbemerkt in kompromittierten Systemen festzusetzen. Besonders betroffen sind staatliche Einrichtungen und IT-Dienstleister mit VMware-Infrastrukturen.

Hochentwickelte Backdoor zielt auf Virtualisierungsumgebungen

Sicherheitsbehörden aus den USA und Kanada haben detaillierte Analysen zu BRICKSTORM veröffentlicht, einer Schadsoftware, die gezielt VMware vSphere-Umgebungen und Windows-Systeme angreift. Die Cybersecurity and Infrastructure Security Agency (CISA) geht gemeinsam mit der NSA und dem kanadischen Cyber Centre davon aus, dass staatlich unterstützte Akteure aus der Volksrepublik China hinter den Angriffen stecken.

Die Malware richtet sich primär gegen Organisationen im Behördenumfeld sowie gegen Informationstechnologie-Unternehmen. Durch ausgefeilte Tarnmechanismen kann BRICKSTORM über längere Zeiträume unentdeckt bleiben und den Angreifern kontinuierlichen Zugang zu sensiblen Systemen verschaffen.

Mehrschichtige Verschleierung erschwert Erkennung

BRICKSTORM nutzt ein Arsenal fortgeschrittener Techniken zur Verschleierung seiner Aktivitäten. Die Kommunikation mit Command-and-Control-Servern erfolgt über mehrfache Verschlüsselungsebenen, darunter HTTPS, WebSockets und verschachteltes TLS. Die Malware verwendet DNS-over-HTTPS, um ihre Netzwerkkommunikation zu verbergen.

Für laterale Bewegungen innerhalb kompromittierter Netzwerke setzt die Backdoor einen SOCKS-Proxy ein. Ein integrierter Selbstüberwachungsmechanismus sorgt dafür, dass sich die Schadsoftware bei Unterbrechungen automatisch wiederherstellt oder neu startet – ein Mechanismus, der dauerhafte Persistenz garantiert.

Virtualisierungsplattformen als Hauptangriffsziel

In einem dokumentierten Angriffsfall drangen die Akteure zunächst über einen Webserver in der demilitarisierten Zone ein. Von dort aus bewegten sie sich seitwärts durch das Netzwerk bis zu einem internen VMware vCenter-Server, auf dem sie schließlich BRICKSTORM installierten.

Nach erfolgreicher Kompromittierung beschaffen sich die Angreifer legitime Zugangsdaten durch Systemsicherungen oder den Zugriff auf Active Directory-Datenbanken. Anschließend nutzen sie VMware vSphere-Plattformen, um Snapshots virtueller Maschinen zu klonen und Anmeldeinformationen zu extrahieren. Zusätzlich erstellen sie versteckte, gefälschte VMs, um einer Entdeckung zu entgehen.

Monatelanger unentdeckter Zugriff dokumentiert

Bei einer Organisation, die CISA im Rahmen einer Incident-Response-Maßnahme unterstützte, erlangten chinesische Cyberakteure bereits im April 2024 dauerhaften Zugang zum internen Netzwerk. Die Angreifer platzierten BRICKSTORM auf einem VMware vCenter-Server und kompromittierten zusätzlich zwei Domänencontroller sowie einen Active Directory Federation Services-Server.

Vom ADFS-Server gelang es ihnen, kryptografische Schlüssel zu exportieren. Der persistente Zugriff über BRICKSTORM bestand nachweislich von April 2024 bis mindestens September 2025 – ein Zeitraum von über 17 Monaten.

Acht Malware-Varianten analysiert

CISA hat insgesamt acht BRICKSTORM-Proben untersucht, die von verschiedenen betroffenen Organisationen stammen. Die Analyse zeigt Unterschiede in Funktionsumfang und Fähigkeiten der einzelnen Varianten, was auf die Komplexität und Anpassungsfähigkeit dieser Malware-Familie hinweist.

Gemeinsam mit der NSA und dem kanadischen Cyber Centre stellt CISA umfassende Indikatoren für Kompromittierungen sowie Erkennungssignaturen bereit, um Organisationen bei der Identifizierung von BRICKSTORM-Infektionen zu unterstützen.

Konkrete Schutzmaßnahmen empfohlen

Die Behörde fordert Netzwerkverantwortliche auf, proaktiv nach Kompromittierungen zu suchen und präventive Maßnahmen zu ergreifen:

• Einsatz der von CISA entwickelten YARA- und Sigma-Regeln zum Aufspüren von BRICKSTORM
• Blockierung nicht autorisierter DNS-over-HTTPS-Anbieter und entsprechenden Netzwerkverkehrs
• Vollständige Inventarisierung aller Netzwerk-Edge-Geräte mit Überwachung verdächtiger Verbindungen
• Implementierung strikter Netzwerksegmentierung zwischen DMZ und internem Netzwerk

Die technischen Details, IOCs und Erkennungsregeln sind im gemeinsamen Malware-Analysebericht verfügbar, den CISA zusammen mit NSA und Cyber Centre veröffentlicht hat.

Indikatoren für Kompromittierung Eine herunterladbare Kopie der mit dieser Malware verbundenen IOCs finden Sie unter: MAR-251165.c1.v1.CLEAR.

Erkennung Dieser Malware-Analysebericht enthält YARA- und Sigma-Regeln.

Eine herunterladbare Kopie der mit dieser Malware verbundenen Sigma-Regeln finden Sie unter: AR25-338A Sigma YAML.

Meldepflicht bei Verdachtsfällen

Organisationen, die BRICKSTORM oder ähnliche Schadsoftware identifizieren oder entsprechende Aktivitäten beobachten, sollen Vorfälle umgehend melden. CISA ist rund um die Uhr über contact@cisa.dhs.gov oder telefonisch unter (888) 282-0870 erreichbar.

Die Sicherheitsbehörden betonen die Dringlichkeit, diese Bedrohung ernst zu nehmen und die bereitgestellten Erkennungsmechanismen zeitnah zu implementieren.

Entdecken Sie außerdem

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk