Brickstorm - backdoor uderzający w krytyczną infrastrukturę IT ochrony zdrowia | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwony napis attack

Brickstorm - backdoor uderzający w krytyczną infrastrukturę IT ochrony zdrowia

Nowe zagrożenie na świecie. Może dotyczyć także szpitali i przychodni. Brickstorm to zaawansowany backdoor atakujący VMware vSphere. Umożliwia przejęcie warstwy wirtualizacji, na której działają kluczowe systemy, też medyczne. Skutki? Utrata danych pacjentów, paraliż usług i nieuprawniony dostęp do infrastruktury.

Co oznacza Brickstorm dla ochrony zdrowia?

Jakie usługi są zagrożone?

Warstwa wirtualizacji - vCenter, ESXi, a wraz z nią środowiska, na których działają systemy HIS, LIS, PACS, systemy apteczne, rejestracja oraz rozliczenia.

Jak może zostać wykorzystany backdoor?

  • nieuprawniony dostęp do danych pacjentów i danych finansowych,  
  • klonowanie całych serwerów,  
  • przejęcie kont administracyjnych,
  • Możliwość wykonywania ruchu bocznego (tzw. lateral movement) w sieci  
  • zakłócenia dostępności kluczowych usług,  
  • a nawet całkowity paraliż jednostki.  

Cyberprzestępca może też pozostawać przez długi czas nie wykryty monitorując przepływ danych.  

Jakie działania należy podjąć natychmiast? 

Pierwszym krokiem jest przeskanowanie środowiska pod kątem wskaźników kompromitacji (IoC) związanych z Brickstormem - logi vCenter/ESXi, urządzenia sieciowe i systemy bezpieczeństwa, korzystając z aktualnych list IoC. 

Jakie działania należy podjąć długofalowo?  

Aby zapobiec eskalacji problemu, warto:

  • wdrożyć gromadzenie logów z vCenter i hostów ESXi do centralnego monitoringu i zdefiniować alerty na nietypowe działania,
  • uporządkować i ograniczyć uprawnienia administracyjne, wdrożyć uwierzytelnianie wieloskładnikowe,
  • stosować segmentację sieci dla warstwy wirtualizacji,
  • cyklicznie przeglądać usługi eksponowane w internecie,
  • uwzględnić środowisko wirtualizacyjne w procedurach reagowania na incydenty.

Jak działa Brickstorm?

Brickstorm to zaawansowany backdoor napisany w języku Go. Jest wykorzystywany w długotrwałych kampaniach ukierunkowanych na środowiska oparte o VMware vSphere - przede wszystkim na serwery vCenter oraz hosty ESXi. W przypadku szpitali, przychodni lub sieci aptek oznacza to zagrożenie nie dla pojedynczych stacji roboczych, ale dla potencjalnie wszystkich serwerów. Jest to związane z zagrożeniem dla warstwy wirtualizacji, na której mogą opierać się wyszczególnione systemy używane w sektorze ochrony zdrowia, takie jak:  

  • HIS,  
  • LIS,  
  • PACS,  
  • rozwiązania apteczne,  
  • rejestracja,  
  • moduły rozliczeniowe. 

Jednym z kluczowych elementów Brickstorm’a jest sposób komunikacji z infrastrukturą atakujących. Malware wykorzystuje m.in. DNS-over-HTTPS, WebSocket oraz szyfrowanie TLS. Dzięki temu jego ruch zlewa się z typowym, zaszyfrowanym ruchem do popularnych usług internetowych i chmurowych. Dla wielu systemów monitoringu sieci wygląda to jak „zwykły HTTPS”, podczas gdy w tle realizowane są zdalne polecenia, operacje na plikach oraz tunelowanie ruchu do innych systemów wewnętrznych z wykorzystaniem funkcji proxy.

Atakujący instalują Brickstorma na elementach odpowiedzialnych za zarządzanie środowiskiem wirtualnym, w szczególności na vCenter i hostach ESXi. To właśnie tam zapadają decyzje o tworzeniu, klonowaniu i uruchamianiu maszyn wirtualnych, na których funkcjonują systemy medyczne i biznesowe.  

Przejęcie tej warstwy umożliwia m.in.:

  • klonowanie serwerów z bazami pacjentów czy systemami aptecznymi,  
  • pozyskiwanie poświadczeń administratorów,
  • stopniowe rozszerzanie obecności w infrastrukturze poprzez ruch boczny. 

Czym skutkuje działanie tego malware?

Taki dostęp to nie tylko ryzyko kradzieży danych. Jeśli atakujący utrzymają się w warstwie wirtualizacji, mogą zakłócić działanie kluczowych usług, od rejestracji i obsługi e-recept po systemy diagnostyczne. W praktyce oznacza to przerwy w pracy placówki, zagrożenie dla bezpieczeństwa pacjentów oraz poważne ryzyko prawne i finansowe związane z danymi medycznymi.

Jak się bronić przed tego typu atakiem?

Aby utrudnić wykorzystanie podobnych backdoorów, nie trzeba identyfikować każdej próbki malware. Kluczowe jest traktowanie platformy VMware z taką samą uwagą jak innych systemów krytycznych.  

W praktyce oznacza to:  

  • włączenie logów z vCenter i hostów ESXi do centralnego monitoringu z jasno określonymi alertami,  
  • uporządkowanie i ograniczenie uprawnień administracyjnych,  
  • właściwą segmentację sieci,  
  • regularne przeglądy usług eksponowanych w Internecie,
  • wdrożenie uwierzytelniania wieloskładnikowego.  

Równie istotne jest uwzględnienie środowiska wirtualizacyjnego w procedurach reagowania na incydenty, aby w przypadku jego kompromitacji możliwe było szybkie zabezpieczenie dowodów i priorytetowe przywrócenie kluczowych usług.

Brickstorm jest więc nie tylko przykładem konkretnego zagrożenia, lecz także wyraźnym sygnałem, że infrastruktura wirtualizacyjna w podmiotach ochrony zdrowia powinna być traktowana jako pełnoprawny element infrastruktury krytycznej, a nie jedynie zaplecze techniczne dla systemów medycznych i finansowych.  

Źródła

Aktualne wskaźniki kompromitacji (IoC) dla kampanii z wykorzystaniem Brickstorm, opublikowane przez CISA/NSA/Canadian Centre for Cyber Security, są dostępne na stronie CISA. Można też pobrać raport PDF.