Çinli Hackerlar, Hem Windows Hem de Linux Sistemleri Hedef Alan Yeni BRICKSTORM Zararlı Yazılımını Kullanıyor

16.04.2025

Siber güvenlik araştırmacıları, Çin bağlantılı UNC5221 tehdit grubu ile ilişkilendirilen BRICKSTORM adlı gizli bir arka kapı (backdoor) zararlı yazılımının yeni ve gelişmiş bir versiyonunu ortaya çıkardı. Başlangıçta yalnızca Linux vCenter sunucularını hedef alan BRICKSTORM, artık Windows ortamlarını da etkileyerek, saldırganların teknik yeteneklerinde ve operasyonel kapsamlarında önemli bir genişlemeye işaret ediyor. Bu faaliyetlerin, en az 2022’den bu yana aktif olan uzun vadeli bir casusluk kampanyasının parçası olduğu düşünülüyor.

Maddi kazanç odaklı saldırıların aksine, BRICKSTORM stratejik siber casusluk kampanyalarında, uzun süreli sızmalar hedeflenerek kullanılıyor. Zararlı yazılım, saldırganlara dosya sistemlerinde sessizce gezinme, dosya ve klasörleri yönetme, ağ bağlantılarını tünelleme gibi imkanlar sağlayarak, ele geçirilmiş sistemlerde gizli bir şekilde yatay hareket kabiliyeti sunuyor. İlginç bir şekilde, BRICKSTORM’un Windows sürümünde doğrudan komut çalıştırma özelliği bulunmuyor; bu da, uç nokta güvenlik araçlarında alarm tetikleyebilecek davranışlardan kaçınmak için bilinçli bir tercih olabilir.

BRICKSTORM, Windows sistemlerde zamanlanmış görevler gibi gelişmiş kalıcılık teknikleri kullanıyor ve Go 1.13.5 diliyle yazılmış. Gerçek karmaşıklığı ise çok katmanlı şifreleme kullanan komuta ve kontrol (C2) mimarisinde yatıyor. Zararlı yazılım, operatörleriyle HTTPS bağlantıları üzerinden sunucusuz bulut platformları aracılığıyla iletişim kuruyor, bu oturumları WebSocket bağlantılarına yükseltiyor ve ek TLS şifreleme katmanlarıyla iletişimi daha da gizli hale getiriyor. Bu yapı, trafik analizini ve zararlı yazılımın tespitini oldukça zorlaştırıyor.

Ayrıca BRICKSTORM, Cloudflare, Google, Quad9 ve NextDNS gibi sağlayıcılar aracılığıyla DNS over HTTPS (DoH) kullanarak altyapısını da gizli tutuyor. Bu yöntem, DNS sorgularını maskeliyor ve kurumsal ağlar içinde zararlı yazılımın fark edilmesini daha da güçleştiriyor. Birinci kademe altyapı yasal bulut hizmetlerinde barındırılırken, Vultr gibi platformlarda barındırılan daha derin altyapı bileşenlerinin 2022 sonlarından bu yana aktif olduğu tespit edildi.

Avrupa genelinde stratejik öneme sahip endüstrileri hedef almaya devam eden bu kampanya, BRICKSTORM’u ciddi ve kalıcı bir tehdit haline getiriyor. Güvenlik uzmanları, kurumlara olağandışı uzun süre çalışan süreçleri izlemelerini, TLS trafiğini denetlemelerini ve halka açık DoH sağlayıcılarına erişimi engellemelerini öneriyor. Bu önlemler, bu tür gizli siber casusluk araçlarına karşı savunma sağlamak açısından kritik öneme sahip.