Провідні компанії у сфері кібербезпеки, Mandiant та Google Cloud, повідомили про виявлення нового та небезпечного шпигунського програмного забезпечення, названого BRICKSTORM. Це шкідливе ПЗ спеціально розроблене для компрометації середовищ віртуалізації VMware vSphere, що є критично важливим компонентом для багатьох корпоративних та державних інфраструктур. Виявлення BRICKSTORM підкреслює зростаючу тенденцію атак, спрямованих безпосередньо на рівень гіпервізора, що надає зловмисникам глибокий і стійкий доступ до всієї віртуальної інфраструктури.
BRICKSTORM класифікується як шпигунське програмне забезпечення, що означає його основну мету — несанкціонований збір даних та моніторинг діяльності жертви. Його особливість полягає в націленості на VMware vSphere, платформу, яка керує віртуальними машинами та ресурсами. Компрометація гіпервізора (наприклад, ESXi хоста) є вкрай небезпечною, оскільки дозволяє зловмисникам:
- Отримувати доступ до даних, що зберігаються на віртуальних машинах, або тих, що передаються між ними.
- Встановлювати стійкість у системі, яка може бути надзвичайно складною для виявлення та видалення.
- Маніпулювати конфігураціями віртуальних машин або навіть створювати нові, контрольовані зловмисниками.
- Залишатися непоміченими для традиційних засобів захисту, що працюють на рівні гостьових операційних систем.
Такий рівень доступу дозволяє зловмисникам здійснювати тривалі шпигунські операції, викрадати конфіденційну інформацію та отримувати контроль над критично важливими системами.
Загроза від BRICKSTORM є особливо актуальною для будь-яких організацій, які використовують VMware vSphere для хостингу своїх віртуальних інфраструктур. Це включає:
- Державні установи: через високу цінність інформації та критичний характер їхніх систем.
- Підприємства критичної інфраструктури: енергетика, телекомунікації, фінанси, транспорт, де порушення роботи може мати катастрофічні наслідки.
- Великі корпорації: що обробляють значні обсяги чутливих даних, інтелектуальної власності або фінансової інформації.
- Постачальники хмарних послуг: які надають віртуальні інфраструктури своїм клієнтам.
Компрометація на рівні гіпервізора може призвести до повного контролю над усіма віртуальними машинами, що працюють на скомпрометованому хості, дозволяючи зловмисникам обходити більшість заходів безпеки, реалізованих на рівні гостьових ОС.
Для захисту від таких загроз, як BRICKSTORM, організації повинні впровадити комплексний підхід до безпеки своїх середовищ vSphere:
- Регулярне оновлення та патчінг: Завжди підтримуйте VMware ESXi та vCenter Server у актуальному стані, застосовуючи всі виправлення безпеки.
- Надійна аутентифікація: Використовуйте багатофакторну аутентифікацію (MFA) для доступу до vCenter та ESXi хостів. Застосовуйте складні паролі та регулярно їх змінюйте.
- Принцип найменших привілеїв: Надавайте користувачам та службам лише ті дозволи, які абсолютно необхідні для виконання їхніх функцій.
- Сегментація мережі: Ізолюйте мережевий трафік керування vSphere від інших мереж. Використовуйте фаєрволи для обмеження доступу до ESXi хостів та vCenter Server.
- Моніторинг та логування: Впровадьте централізований збір та аналіз логів з ESXi хостів та vCenter Server для виявлення аномальної активності.
- Безпечна конфігурація: Дотримуйтесь рекомендацій VMware щодо безпечної конфігурації, відключайте непотрібні служби та порти.
- Резервне копіювання: Регулярно створюйте резервні копії критично важливих конфігурацій та даних, перевіряючи їхню цілісність.
- Планування реагування на інциденти: Розробіть та протестуйте план реагування на інциденти, що включає сценарії компрометації гіпервізора.