Google lanceert gratis scantool voor detectie van Brickstorm-backdoor
Google heeft een gratis tool gelanceerd waarmee organisaties de aanwezigheid van de Brickstorm-backdoor op systemen kunnen detecteren. Volgens het techbedrijf is de malware ingezet door een spionagegroep genaamd UNC5221, die het onder andere heeft voorzien op juridisch dienstverleners, Software as a Service (SaaS) providers, Business Process Outsourcers (BPOs) en techbedrijven.
Volgens Google weten de aanvallers met behulp van de Brickstorm-backdoor gemiddeld 393 dagen onopgemerkt op een bedrijfsnetwerk actief te blijven. Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. In één geval staat vast dat er gebruik werd gemaakt van een kwetsbaarheid in de vpn-oplossing van Ivanti. De Brickstorm-backdoor is aangetroffen op Linux- en BSD-gebaseerde appliciances. Google stelt dat er bewijs is dat duidt op het bestaan van een Windowsversie van Brickstorm, maar deze versie is niet bij onderzoeken aangetroffen.
De geïnfecteerde appliances worden volgens de onderzoekers vaak niet gemonitord door securityteams en ontbreken in de gecentraliseerde security-logging, waardoor infecties lang onopgemerkt blijven. De groep zou allerlei soorten appliances hebben gecompromitteerd, maar heeft het vooral voorzien op VMware vCenter en ESXi hosts. Het doel is het stelen van intellectueel eigendom, aldus Google. Daarnaast stelt het techbedrijf dat de aanvallers ook naar informatie zoeken die ze voor de ontwikkeling van zerodays kunnen gebruiken. UNC5221 is volgens Google een aan China gelieerde groep aanvallers.
De Indicator of Compromise (IoC) Scanner voor Brickstorm zoekt op Linux- en BSD-systemen naar kenmerken van infecties. Google merkt op dat de scanner geen garanties geeft dat een systeem niet is besmet. Aanvallers kunnen het systeem hebben aangepast of een variant hebben ontwikkeld die niet wordt gedetecteerd.
Dat kun je vragen aan de supportdesk van je gerenommeerde leverancier, natuurlijk.
Met een "etc" is de vraag echt onbeantwoordbaar .
En - als jij "de security persoon" bij je werkgever bent - dan is dit soort dingen (leren) uitzoeken wat je moet doen.
Niet op een forum vragen, en zeker niet klaar zijn als de ene of andere anoniem roept "dat doet een AV scanner al" .
Ik _speculeer_ van niet - de tool is een bash script dat geacht wordt te draaien op Linux/Unix based appliances die eventueel geinfecteerd zijn.
Dat is niet typisch wat AV producten doen . Maar geen idee of daar uitzonderingen op zijn of dat de AVs detectie hiervan op andere manier proberen te doen.
Oja - weer even schoppen maar naar de leipe fanboys die geloven en beloven dat je perfect veilig bent als je dingen maar op Linux (of BSD) bouwt. Hier het zoveelste gevalletje dat "draait op Linux/BSD" niet synoniem is met "veilig" .
Ik heb geen hekel aan Linux, integendeel. Maar wel aan de amateurs die onhaalbare en onware beloften erover doen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?