Google heeft een gratis tool gelanceerd waarmee organisaties de aanwezigheid van de Brickstorm-backdoor op systemen kunnen detecteren. Volgens het techbedrijf is de malware ingezet door een spionagegroep genaamd UNC5221, die het onder andere heeft voorzien op juridisch dienstverleners, Software as a Service (SaaS) providers, Business Process Outsourcers (BPOs) en techbedrijven.

Volgens Google weten de aanvallers met behulp van de Brickstorm-backdoor gemiddeld 393 dagen onopgemerkt op een bedrijfsnetwerk actief te blijven. Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. In één geval staat vast dat er gebruik werd gemaakt van een kwetsbaarheid in de vpn-oplossing van Ivanti. De Brickstorm-backdoor is aangetroffen op Linux- en BSD-gebaseerde appliciances. Google stelt dat er bewijs is dat duidt op het bestaan van een Windowsversie van Brickstorm, maar deze versie is niet bij onderzoeken aangetroffen.

De geïnfecteerde appliances worden volgens de onderzoekers vaak niet gemonitord door securityteams en ontbreken in de gecentraliseerde security-logging, waardoor infecties lang onopgemerkt blijven. De groep zou allerlei soorten appliances hebben gecompromitteerd, maar heeft het vooral voorzien op VMware vCenter en ESXi hosts. Het doel is het stelen van intellectueel eigendom, aldus Google. Daarnaast stelt het techbedrijf dat de aanvallers ook naar informatie zoeken die ze voor de ontwikkeling van zerodays kunnen gebruiken. UNC5221 is volgens Google een aan China gelieerde groep aanvallers.

De Indicator of Compromise (IoC) Scanner voor Brickstorm zoekt op Linux- en BSD-systemen naar kenmerken van infecties. Google merkt op dat de scanner geen garanties geeft dat een systeem niet is besmet. Aanvallers kunnen het systeem hebben aangepast of een variant hebben ontwikkeld die niet wordt gedetecteerd.