وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية، استهدفت الهجمات المرتبطة بالصين باستخدام الباب الخلفي “Brickstorm” الثبات طويل المدى على خوادم VMware vCenter وESXi.
وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، فقد لوحظت موجة من هجمات التجسس المرتبطة بالصين تستهدف أنظمة VMware vSphere، وفي بعض الحالات أدت إلى استمرارها على المدى الطويل.
في واحدة مستشار وكشفت CISA يوم الخميس أن الهجمات – باستخدام باب خلفي متطور يسمى “Brickstorm” – استهدفت خوادم VMware vCenter وESXi.
(ذات صلة: 10 هجمات إلكترونية وخروقات بيانات كبرى في عام 2025 (حتى الآن))
وفي الوقت نفسه، فريق عمليات مكافحة الخصم التابع لـCrowdStrike أُبلغ حددت يوم الخميس “اختراقات متعددة” ضد عملاء برنامج VMware المملوك لشركة Broadcom في الولايات المتحدة خلال عام 2025، والتي تضمنت البرنامج الضار Brickstorm.
فيما يلي خمسة أشياء يجب معرفتها حول هجمات VMware “Brickstorm”.
وترتبط الهجمات بالصين
تم ربط الهجمات بممثل تهديد يعمل نيابة عن الحكومة الصينية، وفقًا لاستشارة CISA، التي صدرت بالاشتراك مع وكالة الأمن القومي والمركز الكندي للأمن السيبراني.
وجاء في التحذير: “تقوم الوكالات بتقييم ما إذا كانت الجهات الفاعلة السيبرانية التي ترعاها الدولة في جمهورية الصين الشعبية تستخدم البرمجيات الخبيثة Brickstorm للاستمرار لفترات طويلة من الوقت على أنظمة الضحايا”.
وبالمثل، كشف باحثو CrowdStrike أنهم “حددوا عمليات اختراق متعددة تستهدف بيئات VMware vCenter في الكيانات الموجودة في الولايات المتحدة، بما في ذلك منافس China-Nexus الذي تم تحديده حديثًا WARP PANDA والذي نشر البرامج الضارة BRICKSTORM”.
هجمات “معقدة”.
وأشار باحثو CrowdStrike إلى “مستوى عالٍ من التطور التقني” في الهجمات، فضلاً عن مهارات أمنية تشغيلية “متقدمة” ومعرفة واسعة بالبيئات السحابية والآلات الافتراضية.
وكتب الباحثون في منشور بالمدونة أن Warp Panda “يُظهر مستوى عالٍ من السرية ويكاد يكون من المؤكد أنه يركز على الحفاظ على وصول سري مستمر وطويل الأمد إلى الشبكة المخترقة”. “من المرجح أن تكون عملياتهم مدفوعة باحتياجات جمع المعلومات الاستخبارية المرتبطة بالمصالح الاستراتيجية لجمهورية الصين الشعبية.”
وكتب فريق CrowdStrike أن جميع المؤشرات تشير إلى أنهم “مرتبطون بمنظمة ذات موارد جيدة استثمرت بكثافة في قدرات التجسس الإلكتروني”.
وبالمثل، حذرت CISA ووكالات أخرى من أن جهة تهديد مرتبطة بالصين استخدمت “بابًا خلفيًا متطورًا”، BrickStorm، لاستهداف خوادم VMware vSphere VMware vCenter وESXi، بالإضافة إلى بيئات Windows.
تم استهداف الضحايا
وأشار تقرير CISA إلى أن المنظمات المتضررة كانت “في الغالب” تعمل في الخدمات والمرافق الحكومية، فضلاً عن قطاع تكنولوجيا المعلومات.
وفي إحدى الحالات، عندما استجابت CISA لحادث ما، “حصلت الجهات الفاعلة السيبرانية التي ترعاها الدولة في جمهورية الصين الشعبية على وصول مستمر طويل الأمد إلى الشبكة الداخلية للمنظمة في أبريل 2024 وقامت بتحميل برنامج Brickstorm الضار على خادم VMware vCenter داخلي”، حسبما ذكر الاستشارة.
وجاء في التحذير: “لقد تمكنوا أيضًا من الوصول إلى وحدتي تحكم بالمجال وخادم خدمات اتحاد الدليل النشط (ADFS).” “لقد نجحوا في اختراق خوادم ADFS وتصدير مفاتيح التشفير. واستخدم الممثلون السيبرانيون Brickstorm للوصول المستمر من أبريل 2024 على الأقل حتى 3 سبتمبر 2025 على الأقل.”
أشارت مدونة CrowdStrike إلى أن المجموعة التي تم تتبعها باسم Warp Panda “استهدفت بيئات VMware vCenter في الكيانات القانونية والتكنولوجية والتصنيعية في الولايات المتحدة.”
بيان برودكوم
وفي بيان قدمته Broadcom إلى CRN يوم الخميس، قالت الشركة إنها “على علم بالتقارير التي تفيد بأن جهات التهديد السيبراني قد استغلت البرامج الضارة Brickstorm داخل عمليات تثبيت VMware بعد الوصول إلى بيئات العملاء”.
وقالت Broadcom في البيان: للحماية من الهجمات، “نوصي بتطبيق تصحيحات محدثة عبر جميع حلول البنية التحتية، بما في ذلك استخدام برنامج VMware، وممارسات الأمان التشغيلية القوية، وتوصياتنا لتقوية بيئات vSphere”.
توصيات إضافية
توصي CISA بأن تقوم المؤسسات بترقية خوادم VMware vSphere الخاصة بها إلى الإصدار الحالي، ودمج بيئات VMware vSphere بناءً على إرشادات VMware، وجرد جميع أجهزة حافة الشبكة.
وقالت CISA إن الاقتراحات الأخرى تشمل تطبيق مبدأ الامتياز الأقل للوصول إلى الحساب وقصر حسابات الخدمة على الأذونات الأساسية.
تتضمن توصيات CrowdStrike الرئيسية مراقبة إنشاء أجهزة افتراضية غير مرخصة ومراجعة الاتصالات الصادرة غير المصرح بها، بما في ذلك الاتصالات بالشبكات غير المتوقعة بالإضافة إلى البنية التحتية المعروفة للقيادة والتحكم المرتبطة بـ Brickstorm.
قال فريق عمليات مكافحة الخصوم في CrowdStrike إن المؤسسات يمكنها أيضًا التفكير في تعطيل وصول SSH إلى مضيفي VMware ESXi، من بين توصيات أخرى.
