5 Dinge, die Sie über VMware-"Brickstorm"-Angriffe wissen sollten
Sicherheitsexperten warnen Unternehmen und Behörden, dass Cyberkriminelle raffinierte "Brickstorm"-Backdoors nutzen, um langfristige Angriffe auf VMware vCenter- und ESXi-Server sowie Windows-Umgebungen zu starten. Wir haben zusammengefasst, woher die Angriffe kommen, wen sie betreffen, was sie bezwecken und wie man sich schützen kann.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) warnt, sie habe eine Welle von Spionageangriffen mit Verbindungen zu China beobachtet, die auf VMware vSphere-Systeme abzielten. In einigen Fällen zielten die Cyberkriminellen dabei gezielt auf persistente Kompromittierungen ab. In einer Mitteilung vom Donnerstag gab die CISA bekannt, dass die Angriffe, bei denen eine ausgeklügelte Hintertür namens "Brickstorm" zum Einsatz kam, auf VMware vCenter- und ESXi-Server abzielten.
Unterdessen berichtete das Counter Adversary Operations Team von CrowdStrike am Donnerstag, dass es im Laufe des Jahres 2025 bereits "mehrere Eindringversuche" bei US-Kunden der zu Broadcom gehörenden VMware identifiziert habe, bei denen die Brickstorm-Malware zum Einsatz kam.
Im Folgenden finden Sie fünf Dinge, die Sie über die "Brickstorm"-Angriffe auf VMware wissen sollten.
Verbindungen zu China
Laut einer gemeinsam mit der National Security Agency und dem Canadian Centre for Cyber Security veröffentlichten Mitteilung der CISA stehen die Angriffe in Verbindung mit einem Bedrohungsakteur, der im Auftrag der chinesischen Regierung handelt. Die Behörden "gehen davon aus, dass staatlich geförderte Cyberakteure aus der Volksrepublik China (VR China) die BRICKSTORM-Malware einsetzen, um langfristig auf den Systemen der Opfer präsent zu bleiben", heißt es in der Warnung.
Auch die Forscher von CrowdStrike führen aus, dass sie "mehrere Angriffe auf VMware vCenter-Umgebungen bei Unternehmen mit Sitz in den USA identifiziert haben, bei denen der neu identifizierte, mit China in Verbindung stehende Angreifer WARP PANDA die Malware BRICKSTORM eingesetzt hat".
"Ausgeklügelte" Angriffe
Die Forscher von CrowdStrike wiesen auf ein "hohes Maß an technischer Raffinesse" bei den Angriffen sowie auf "fortgeschrittene" Fähigkeiten im Bereich der Betriebssicherheit und umfassende Kenntnisse über Cloud- und Virtual-Machine-Umgebungen hin.
Warp Panda "zeichnet sich durch ein hohes Maß an Tarnung aus und konzentriert sich mit ziemlicher Sicherheit darauf, einen dauerhaften, langfristigen und verdeckten Zugriff auf kompromittierte Netzwerke aufrechtzuerhalten", schrieben die Forscher in einem Blogbeitrag. "Ihre Operationen sind wahrscheinlich durch Anforderungen an die Informationsbeschaffung motiviert, die mit den strategischen Interessen der Volksrepublik China im Einklang stehen." Alle Anzeichen deuten darauf hin, dass "sie mit einer gut ausgestatteten Organisation in Verbindung stehen, die stark in Cyberspionagefähigkeiten investiert hat", schrieb das CrowdStrike-Team.
In ähnlicher Weise warnten die CISA und andere Behörden, dass der mit China in Verbindung stehende Bedrohungsakteur eine "ausgeklügelte Hintertür" namens Brickstorm eingesetzt habe, um VMware vSphere VMware vCenter- und ESXi-Server sowie Windows-Umgebungen anzugreifen.
Betroffene Opfer
Die CISA-Meldung wies ferner darauf hin, dass die betroffenen Organisationen "vor allem" aus dem Bereich der staatlichen Dienste und Einrichtungen sowie aus der IT-Branche stammen. In einem Fall, in dem die CISA eine Incident Response durchführte, "erlangten staatlich geförderte Cyberakteure aus der VR China im April 2024 langfristigen, dauerhaften Zugriff auf das interne Netzwerk der Organisation und luden die Malware BRICKSTORM auf einen internen VMware vCenter-Server hoch", heißt es in der Meldung.
"Außerdem verschafften sie sich Zugriff auf zwei Domänencontroller und einen Active Directory Federation Services (ADFS)-Server", heißt es in der Warnung weiter. "Sie kompromittierten erfolgreich den ADFS-Server und exportierten kryptografische Schlüssel. Die Cyberakteure nutzten BRICKSTORM für einen dauerhaften Zugriff von mindestens April 2024 bis mindestens 3. September 2025."
Der CrowdStrike-Blog wies darauf hin, dass die als Warp Panda bezeichnete Gruppe "VMware vCenter-Umgebungen bei US-amerikanischen Unternehmen aus den Bereichen Recht, Technologie und Fertigung ins Visier genommen hat".
Erklärung von Broadcom
In einer Erklärung, die Broadcom am Donnerstag gegenüber CRN abgegeben hat, erklärte das Unternehmen, es sei "sich Berichten bewusst, dass Cyberkriminelle die Brickstorm-Malware in VMware-Installationen eingesetzt haben, nachdem sie sich Zugang zu Kundenumgebungen verschafft hatten".
Zum Schutz vor den Angriffen "empfehlen wir die Anwendung aktueller Patches für alle Infrastrukturlösungen, einschließlich VMware-Software, strenge Sicherheitsmaßnahmen im Betrieb und die Umsetzung unserer Empfehlungen zur Absicherung von vSphere-Umgebungen", so Broadcom in der Erklärung.
Zusätzliche Empfehlungen
Die CISA empfiehlt Unternehmen, ihre VMware vSphere-Server auf die aktuelle Version zu aktualisieren, VMware vSphere-Umgebungen gemäß den VMware-Richtlinien abzusichern und alle Netzwerk-Edge-Geräte zu inventarisieren. Weitere Vorschläge sind laut CISA die Anwendung des Prinzips der geringsten Privilegien für den Kontozugriff und die Beschränkung von Dienstkonten auf die erforderlichen Berechtigungen.
Zu den wichtigsten Empfehlungen von CrowdStrike gehören die Überwachung der Erstellung nicht genehmigter virtueller Maschinen und die Überprüfung nicht genehmigter ausgehender Verbindungen, einschließlich Verbindungen zu unerwarteten Netzwerken sowie zu bekannten Command-and-Control-Infrastrukturen, die mit Brickstorm in Verbindung stehen.
Unternehmen könnten unter anderem auch in Betracht ziehen, den SSH-Zugriff auf VMware ESXi-Hosts zu deaktivieren, so das Counter Adversary Operations Team von CrowdStrike.
Dieser Artikel erschien zuerst bei unserer Schwesterpublikation crn.com
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden