Die Brickstorm-Malwarebedrohung führt zu dringenden Warnungen für kritische Infrastrukturen.

Die Brickstorm-Malwarebedrohung hat neue Warnungen von Sicherheitsbehörden ausgelöst, nachdem Forscher bestätigt haben, dass chinesische staatlich unterstützte Angreifer die Backdoor nutzen, um kritische Infrastrukturen zu infiltrieren. Die Schadsoftware zielt auf virtuelle Umgebungen und besonders wertvolle Systeme ab, während sie sich im normalen Betrieb verbirgt. Dieser Fund sorgt für Besorgnis, da die Bedrohung langfristigen Zugriff mit minimaler Entdeckung ermöglicht. Behörden fordern Organisationen nun auf, ihre Umgebungen zu prüfen und schnell zu handeln.

Wie die Malware funktioniert

Brickstorm verschafft Angreifern dauerhaften Zugriff, sobald sie in ein System eindringen. Die Backdoor unterstützt Befehle, die es Eindringlingen ermöglichen, Dateien zu verwalten, versteckte virtuelle Maschinen zu erstellen und sich tiefer im Netzwerk zu bewegen. Diese Fähigkeiten erlauben es Angreifern, monatelang unentdeckt zu bleiben.

Analysten fanden heraus, dass Brickstorm über verschlüsselte Kanäle kommuniziert. Die Malware nutzt HTTPS, WebSockets und DNS-over-HTTPS, um sich unauffällig in reguläre Datenströme einzufügen. Diese Technik verhindert, dass viele Überwachungssysteme ungewöhnliche Muster erkennen. Zudem kann die Malware Angreiferbefehle über kompromittierte Systeme weiterleiten, was externe Kommunikation verbirgt.

Forscher bestätigten, dass Brickstorm sowohl VMware-Umgebungen als auch Windows-Server betraf. Diese Plattformen steuern zentrale Systeme in Behörden und privaten Organisationen. Da Angreifer einen mehrstufigen Ansatz nutzten, konnten sie ihre Zugriffe über mehrere Domänen und sensible Bereiche ausweiten.

Warum Ermittler die Bedrohung China zuordnen

Sicherheitsteams schreiben die Brickstorm-Bedrohung einer bekannten chinesischen, staatlich unterstützten Gruppe zu. Analysten beobachteten operative Ähnlichkeiten zu früheren Spionagekampagnen. Die Angriffe zielten auf Sektoren, die wertvolle nachrichtendienstliche Informationen liefern – darunter öffentliche Verwaltung, juristische Dienste, Energie und Informationstechnologie.

Ermittler stellten fest, dass Angreifer über ein Jahr lang unentdeckt in einer Umgebung blieben. Sie bewegten sich von virtuellen Systemen zu Domänencontrollern und exportierten kryptografisches Material. Dieses Verhalten deutet auf eine Kampagne hin, die auf Spionage, Störung oder Vorbereitung zukünftiger Operationen ausgelegt ist.

Warum virtuelle Infrastrukturen gefährdet sind

Brickstorm nimmt Virtualisierungsplattformen ins Visier, die in kritischen Sektoren weit verbreitet sind. Diese Plattformen hosten essenzielle Arbeitslasten und steuern zentrale Dienste. Wenn Angreifer solche Systeme kompromittieren, erhalten sie Zugriff auf zahlreiche verbundene Umgebungen. Das macht die Bedrohung deutlich schwerer als herkömmliche Angriffe auf einzelne Geräte.

Die Malware verwendet zudem legitime Administrationswerkzeuge, was die Entdeckung erschwert. Viele Verteidigungsteams interpretieren diese Aktivitäten als reguläre Systemvorgänge. Angreifer können anschließend neue virtuelle Maschinen erstellen, die außerhalb normaler Überwachung laufen. Diese versteckten Maschinen dienen als Ausgangspunkt für weitere Angriffe.

Was Behörden jetzt empfehlen

Behörden raten Organisationen, ihre Umgebungen mit aktualisierten Erkennungssignaturen zu scannen. Administratoren sollten virtuelle Maschinen, Hypervisor-Protokolle und Domänencontroller auf ungewöhnliche Aktivitäten prüfen. Zudem wird zu strenger Netzsegmentierung geraten, insbesondere in Systemen mit kritischen Funktionen.

Experten empfehlen außerdem eine genaue Überwachung des ausgehenden Datenverkehrs. Verschlüsselte Muster können auf unbefugte Kommunikation hinweisen. Organisationen sollten außerdem Zugriffsrichtlinien überprüfen und unnötige Dienste deaktivieren, die als Einstiegspunkt dienen könnten. Da Brickstorm sich leise ausbreitet, müssen Teams schnell auf jedes Anzeichen eines Angriffs reagieren.

Auswirkungen auf kritische Infrastrukturen

Die Brickstorm-Bedrohung zeigt, wie sich Risiken für essenzielle Dienste weiterentwickeln. Angreifer konzentrieren sich zunehmend auf Systeme, die nationale Sicherheit, Energieversorgung und Kommunikationsnetze stützen. Diese Systeme basieren oft auf Virtualisierungstechnologie, was sie zu attraktiven Zielen macht. Bleiben Angreifer im System, können sie sensible Informationen sammeln oder zentrale Prozesse stören.

Die Bedrohung verstärkt auch Sorgen über Risiken in Lieferketten. Betreiber kritischer Infrastrukturen sind auf Softwareanbieter und externe Partner angewiesen. Wird einer dieser Partner kompromittiert, können zahlreiche Organisationen gleichzeitig betroffen sein.

Fazit

Die Brickstorm-Malware verdeutlicht, wie fortgeschrittene Angreifer hochkritische Systeme infiltrieren und langfristig unentdeckt bleiben. Behörden warnen, dass die Bedrohung ein ernstes Risiko für kritische Infrastrukturen darstellt. Organisationen müssen virtuelle Umgebungen gründlich prüfen, Überwachung verstärken und strikte Segmentierung einführen. Anhaltende Wachsamkeit bleibt entscheidend, während Forscher weitere Details zu den langfristigen Zielen der Angreifer enthüllen.