«سايسا» تنشر تقريراً عن برمجية «بريكستورم» الخبيثة وقواعد «ياره» جديدة لـ «في إم وير في سفير»

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تقريراً شاملاً حول برمجيات BRICKSTORM الخبيثة، وهي باب خلفي متطور مرتبط بعمليات القرصنة التي ترعاها الصين. يستهدف هذا التهديد بشكل خاص بيئات VMware vSphere، مما يثير قلقاً لدى المؤسسات في القطاعات الحكومية وتكنولوجيا المعلومات.

ووفقاً للتقرير، الذي تم تحديثه في يناير 2026، تركز برمجيات BRICKSTORM على خوادم vCenter وبيئات ESXi، مما يتيح للمهاجمين الحفاظ على وصول طويل الأمد وغير مكتشف إلى الأنظمة المخترقة.

تحديد وتحليل برمجيات BRICKSTORM الخبيثة

يُعد BRICKSTORM تهديداً خطيراً نظراً لقدرته على العمل بصمت في الخلفية، وإعادة تثبيت نفسه تلقائياً في حال اكتشافه وإزالته، مما يمنح الجهات الفاعلة الخبيثة القدرة على سرقة البيانات الحساسة، ونسخ الأجهزة الافتراضية، والتحرك جانباً عبر الشبكات.

وقد فحص التقرير إحدى عشرة عينة من البرمجيات الخبيثة، ثماني منها تم بناؤها بلغة البرمجة Go، وثلاث نسخ أحدث تستخدم لغة Rust. تم اكتشاف BRICKSTORM خلال تحقيق استجابة للحوادث، حيث تمكن المهاجمون من الوصول المستمر إلى منظمة ضحية لمدة عام تقريباً، وصولاً إلى اختراق خادم خدمات اتحاد Active Directory لتصدير مفاتيح التشفير.

آليات الإصابة والثبات

تكتسب برمجيات BRICKSTORM الوصول الأولي عبر خوادم الويب المخترقة الموجودة في المناطق منزوعة السلاح (DMZ). يتحرك المهاجمون بعد ذلك إلى خوادم VMware vCenter باستخدام بيانات اعتماد حسابات الخدمة المسروقة واتصالات بروتوكول سطح المكتب البعيد (RDP).

تُثبّت البرمجية نفسها في أدلة النظام وتعدّل نصوص بدء التشغيل التنفيذية لضمان بدء تشغيلها مع إقلاع النظام.

يتم الحفاظ على الثبات عبر قدرات المراقبة الذاتية المدمجة التي تتحقق باستمرار من نشاط BRICKSTORM، وفي حال اكتشاف توقفها، تقوم البرمجية بإعادة تثبيت نفسها وتشغيلها تلقائياً من مسارات ملفات محددة مسبقاً. تضمن آلية “الشفاء الذاتي” هذه استمرار وصول المهاجمين حتى عند محاولة فرق الأمن إزالتها.

استراتيجيات التواصل والتخفي

تُنشئ BRICKSTORM اتصالات مشفرة بخوادم القيادة والتحكم (C2) باستخدام DNS-over-HTTPS (DoH) عبر حلول DNS عامة شرعية مثل Cloudflare و Google و Quad9. تسمح هذه التقنية بإخفاء حركة المرور الخبيثة ضمن الاتصالات المشفرة العادية.

ترقي البرمجية اتصالات HTTPS الأولية إلى جلسات WebSocket آمنة مع طبقات تشفير متعددة متداخلة. من خلال هذه الاتصالات، يحصل المهاجمون على وصول تفاعلي لسطر الأوامر، ويمكنهم تصفح أنظمة الملفات، وتحميل وتنزيل الملفات، وإنشاء وكلاء SOCKS للحركة الجانبية.

الدفاع والتوصيات

بهدف دعم جهود الكشف والإزالة، أصدرت CISA ست قواعد YARA وقاعدة Sigma مصممة خصيصاً لتحديد عينات BRICKSTORM، تستهدف هذه التوقيعات أنماط الشفرات الفريدة والخصائص السلوكية عبر متغيرات البرمجيات الخبيثة المختلفة.

تحث CISA المنظمات على الإبلاغ فوراً عن أي اكتشافات لـ BRICKSTORM وتطبيق التخفيفات الموصى بها. تشمل هذه التوصيات ترقية خوادم VMware vSphere، وتنفيذ تقسيم الشبكات، وحظر مزودي DNS-over-HTTPS غير المصرح بهم.

علاوة على ذلك، تُظهر آلية الحركة الجانبية للبرمجية تقدم الجهات الفاعلة في مجال القرصنة التي ترعاها الصين، بدءاً من خوادم الويب، مروراً بوحدات التحكم بالمجال، وصولاً إلى خادم VMware vCenter، مما يؤكد على الطبيعة المتطورة لبرمجيات BRICKSTORM.