AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Hackers respaldados por China comprometen servidores VMware vSphere con el malware Brickstorm

admin

Introducción

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta dirigida a equipos de defensa y operaciones de seguridad sobre una nueva campaña de ciberataques perpetrada por actores estatales chinos. Según el aviso, los atacantes están explotando vulnerabilidades presentes en servidores VMware vSphere para desplegar el malware Brickstorm, una puerta trasera altamente persistente y sigilosa. Este incidente subraya la creciente sofisticación y persistencia de los grupos APT chinos y la importancia crítica de proteger infraestructuras virtualizadas en entornos empresariales y gubernamentales.

Contexto del Incidente

La campaña identificada por CISA forma parte de una tendencia en la que actores de amenazas vinculados a la República Popular China dirigen su actividad hacia infraestructuras virtualizadas y entornos de nube híbrida. Los servidores VMware vSphere, ampliamente utilizados para la gestión y virtualización de recursos críticos, se han convertido en un objetivo prioritario debido a su papel central en la arquitectura TI de numerosas empresas y organismos públicos.

El informe de CISA detalla cómo los atacantes han logrado acceder a entornos vSphere internos, evadiendo detecciones convencionales y aprovechando el acceso extendido que estos sistemas ofrecen. Las investigaciones recientes sugieren que la campaña lleva activa al menos desde el primer trimestre de 2024, con indicios de que los atacantes han mantenido acceso persistente durante semanas o meses sin ser detectados.

Detalles Técnicos

Según el análisis forense y de inteligencia de amenazas, los actores chinos han explotado vulnerabilidades conocidas en VMware vSphere, especialmente aquellas catalogadas bajo CVE-2023-20867 y CVE-2023-20877. Ambas afectan a las versiones vSphere 6.7, 7.0 y 8.0 si no han sido debidamente parcheadas.

El vector de ataque principal consiste en la explotación remota de estos fallos para obtener ejecución de código arbitrario en el host. Una vez comprometido el servidor, los atacantes despliegan el malware Brickstorm, una backdoor desarrollada ad hoc para entornos VMware, que permite control remoto, movimiento lateral y extracción de credenciales.

Brickstorm implementa técnicas TTPs alineadas con MITRE ATT&CK, destacando los siguientes:

– Persistence (T1053.005): Instalación como servicio persistente en el sistema huésped.
– Defense Evasion (T1070): Uso de técnicas de borrado de logs y modificación de procesos para evadir EDR y SIEM.
– Lateral Movement (T1021.002): Aprovechamiento de credenciales extraídas para pivotar hacia otros sistemas virtualizados.

Entre los IoC (Indicadores de Compromiso) detectados se encuentran hashes específicos de Brickstorm, direcciones IP de C2 asociados con la infraestructura china y artefactos en logs de vSphere relacionados con conexiones inusuales.

Impacto y Riesgos

La explotación de servidores vSphere tiene un impacto potencialmente devastador, ya que estos sistemas suelen orquestar recursos críticos y contener información sensible de múltiples máquinas virtuales. Se estima, según datos de CISA y VMware, que más del 23% de los entornos empresariales aún operan versiones vulnerables a los CVE explotados.

El acceso persistente a través de Brickstorm permite a los atacantes:

– Exfiltrar datos confidenciales de múltiples VM.
– Desplegar ransomware o wipers en masa.
– Interrumpir la continuidad del negocio mediante sabotaje de recursos virtualizados.
– Utilizar la infraestructura comprometida como trampolín para ataques adicionales (supply chain, spear phishing interno, etc.).

Cualquier organización que no haya aplicado los últimos parches críticos de VMware se encuentra en alto riesgo, con potenciales impactos económicos que, en incidentes similares, han superado los 2,5 millones de euros en costes de recuperación y sanciones regulatorias (especialmente bajo GDPR y NIS2).

Medidas de Mitigación y Recomendaciones

CISA y VMware recomiendan las siguientes medidas inmediatas:

1. Actualizar todos los servidores vSphere a las versiones más recientes, asegurando la corrección de CVE-2023-20867 y CVE-2023-20877.
2. Monitorizar logs de vSphere y tráfico de red en busca de IoC identificados (hashes, conexiones C2, actividad anómala de servicios).
3. Implementar autenticación multifactor (MFA) para acceso administrativo.
4. Segmentar redes virtualizadas y limitar privilegios de acceso a lo estrictamente necesario.
5. Realizar revisiones de integridad en imágenes de máquinas virtuales y snapshots.
6. Adoptar soluciones EDR capaces de operar en entornos virtualizados.

Además, se recomienda realizar ejercicios de Red Team y simulacros de respuesta a incidentes para validar la eficacia de las defensas ante TTPs alineadas con MITRE ATT&CK.

Opinión de Expertos

Varios analistas de amenazas y responsables de ciberseguridad han subrayado la gravedad de esta campaña. Según Elena Ruiz, responsable de Threat Intelligence en una importante consultora española: “La virtualización es el corazón de la infraestructura TI actual. Un compromiso a este nivel puede ser tan crítico como un ataque directo a la red interna o a controladores de dominio”.

Otros expertos advierten que la sofisticación de Brickstorm, con capacidades para evadir controles tradicionales y persistir en entornos virtualizados, marca un salto cualitativo en las herramientas empleadas por los grupos APT chinos.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente enfatiza la necesidad de adoptar un enfoque Zero Trust y de reforzar la seguridad en capas, más allá del perímetro tradicional. Los equipos SOC y de ciberseguridad deben priorizar la monitorización y protección de infraestructuras virtualizadas, y no relegar la seguridad de entornos como vSphere a segundo plano.

A nivel de cumplimiento, las obligaciones derivadas del GDPR y la inminente NIS2 hacen que la notificación de brechas y la implantación proactiva de medidas técnicas y organizativas sean imperativos legales, no solo buenas prácticas.

Conclusiones

La campaña de ataque identificada por CISA contra VMware vSphere mediante el malware Brickstorm representa una amenaza crítica para la resiliencia digital de empresas y organismos. La sofisticación de los vectores empleados y la capacidad de persistencia en entornos virtualizados exigen una respuesta inmediata y coordinada, tanto en el plano técnico como en el de gestión de riesgos y cumplimiento normativo.

(Fuente: www.bleepingcomputer.com)