מחקר: האקרים סינים השיגו גישה לחברות רבות בארה"ב

שחקני איום סיניים פרסו דלת אחורית מותאמת אישית ללינוקס, במכשירי קצה ברשתות שאליהן פרצו – וכך הצליחו לשמור על גישה מתמשכת לרשתות של ארגונים בארה"ב: משרדי עורכי דין, ספקיות תוכנה כשירות (SaaS), חברות מיקור חוץ לתהליכים עסקיים וחברות טכנולוגיה – כך חשפו בשבוע שעבר חוקרי מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud).

דלתות אחוריות אלו נותרו בלתי מזוהות בממוצע למשך 393 ימים. הן שימשו כנקודת היערכות לתנועה רוחבית בין תשתיות של VMware vCenter ו-ESXi, תחנות עבודה ושרתים של חלונות ותיבות דוא"ל של מיקרוסופט 365 (Microsoft 365).

"הערך של הקורבנות שנפרצו הוא הרבה מעבר למשימות ריגול טיפוסיות", כתבו החוקרים. "יש פה פוטנציאל לספק נתונים כדי לפתח נוזקות 'יום אפס' וליצור נקודות גישה רבות לעוד מערכות ולעוד קורבנות בהמשך", נכתב.

BRICKSTORM malware used by suspected China-nexus actor, UNC5221, in stealthy espionage campaign.

– Avg dwell time: 393 days.
– Targets: US legal, SaaS, BPOs & tech firms.

We have released a scanner, IOCs, and guidance to help defenders.

Full analysis: https://t.co/wM3OFsR5Ec pic.twitter.com/nRBFKvgUDB

— Mandiant (part of Google Cloud) (@Mandiant) September 24, 2025

קבוצת UNC5221 וכלי התקיפה BRICKSTORM

החוקרים מייחסים את המתקפות לקבוצת UNC5221. הכלי העיקרי של הקבוצה הוא דלת אחורית שנכתבה בשפת Go עבור לינוקס ורכיבי BSD – מערכות הפעלה בקוד פתוח, וגם למערכות ההפעלה macOS ו-iOS של אפל (Apple), המבוססות על קוד BSD. 

חוקרי מנדיאנט כינו את הדלת BRICKSTORM. לדבריהם, מדובר בדלת אחורית שקשה מאוד לזהות ולנטר אותה "בלא ציד איומים פעיל". לדלת אחורית זו כמה יכולות: להגדיר את עצמה כשרת אינטרנט, לבצע מניפולציה על מערכות קבצים וספריות, לבצע פעולות בקבצים ולקצור אותם.

UNC5221 היא הקבוצה היחידה שידוע כי ניצלה פגיעויות ברכיבים של איבנטי (Ivanti) מאז דצמבר 2023. עם זאת, הדלת האחורית הנוכחית נמצאה בסוגים שונים של מכשירים ויצרנים שונים – בלי שהחוקרים יכלו לקבוע שהפגיעות נוצלה. חלק מחוסר יכולת זו נובע מהשהות הארוכה של ההאקרים במערכות הקורבנות – פרק זמן שהוא גדול מהתקופה שבה נשמרים יומני רישום פנימיים, עם נתונים. החוקרים הוסיפו כי "דפוסי הפעולה מצביעים על ההתמקדות של שחקן האיום בפגיעה בתשתיות היקפיות ובגישה מרחוק".

BRICKSTORM נמצא גם בשרתי VMware vCenter ו-ESXi, שם הוא נפרס באמצעות אישורים חוקיים שככל הנראה נגנבו ממכשירי רשת שנפגעו. התוקפים השתמשו גם ב-VMware vCenter כדי לשכפל מכונות וירטואליות עבור שרתי חלונות הפועלים כבקרי דומיינים, ספקי זהות SSO וכספות וירטואליות. לאחר מכן הם התקינו את מערכות הקבצים של המכונות הווירטואליות הללו וחילצו אישורים המאוחסנים בתוכן. אישורים אלה שימשו לאחר מכן לתנועה רוחבית נוספת למערכות אחרות.

התוקפים גם השתמשו ביישומי מיקרוסופט אנטרה איי.די (Microsoft Entra ID) עם אישורים גנובים, כדי לגשת לתיבות דואר Microsoft 365 של מפתחים, מנהלי מערכת או עובדים שיכולים לסייע לאינטרסים של ההאקרים. הדלת האחורית אפשרה לתוקפים לגשת ישירות למערכות וליישומי אינטרנט ברשת הארגונית, שם הם קצרו עוד נתונים וקבצים.

"הפריצות הללו מתבצעות תוך התמקדות מיוחדת בשמירה על גישה חשאית לטווח ארוך, על ידי פריסת דלתות אחוריות במכשירים שאינם תומכים בכלים מסורתיים לזיהוי ותגובה של נקודות קצה (EDR)", ציינו החוקרים.

מריגול גיאופוליטי, דרך פעולות להשגת גישה ועד לגניבת קניין רוחני 

"פעולות החדירה האחרונות משקפות מערך של מטרות – החל מריגול גיאופוליטי, דרך פעולות להשגת גישה ועד לגניבת קניין רוחני (IP)", כתבו החוקרים.

כך, למשל, כאשר ההאקרים תקפו משרדי עורכי דין, סביר להניח שהם חיפשו, ומצאו, מידע הקשור לביטחון הלאומי והסחר של ארה"ב. כאשר הם תקפו ספקיות SaaS – המטרה הייתה להשיג את נתוני הלקוחות שלהן, או להשיג גישה ללקוחות אלה. כאשר המטרות היו חברות טכנולוגיה, הכוונה הייתה לגנוב קניין רוחני, וגם לנתח את קוד המקור הגנוב, למצוא נקודות תורפה במוצרים ואז לפתח נוזקות מסוג 'יום אפס'.

"הבסיס להצלחה של כל ציד איומים הוא מלאי נכסים הכולל מכשירים שאינם מכוסים על ידי כלי האבטחה הסטנדרטיים, כגון מכשירי קצה ומכשירים אחרים, כיוון שמכשירים אלה חסרים תמיכה בכלי אבטחה מסורתיים. מיפוי של המלאי הוא קריטי לפיתוח בקרות וגילויים יעילים", כתבו החוקרים.