BRICKSTORM – La cyber-menace chinoise qui hante les réseaux d'entreprise depuis plus d'un an

Imaginez un intrus discret, installé confortablement au cœur de votre infrastructure informatique, observant, attendant et extrayant des données pendant des mois, voire plus d'un an, sans que personne ne s'en aperçoive. Ce scénario, digne d'un thriller d'espionnage, est aujourd'hui une réalité alarmante. Google vient de tirer la sonnette d'alarme. Une campagne de piratage sophistiquée, liée à la Chine, pourrait sommeiller dans les réseaux d'innombrables entreprises et les experts préviennent que nous n'en sommes qu'au début de sa découverte.

Hier, le Threat Intelligence Group de Google a publié un rapport qui a fait l'effet d'une bombe dans le monde de la cybersécurité. Les chercheurs y détaillent le suivi d'un logiciel malveillant de type “backdoor” (porte dérobée) baptisé BRICKSTORM. Ce dernier est un instrument de persistance. Il permet aux attaquants de maintenir un accès discret mais total aux systèmes de leurs victimes sur de très longues périodes. La durée moyenne de présence non détectée ? Un chiffre stupéfiant de 393 jours. Mandiant, la branche de conseil en cybersécurité de Google, est sur le pied de guerre et répond à ces intrusions depuis mars 2025.

L'art de l'invisibilité: une attaque qui contourne les défenses traditionnelles

La principale raison pour laquelle cette campagne est si redoutable réside dans sa méthode d'opération. Les pirates, regroupés sous l'identifiant UNC5221 par Google, ont compris que les entreprises concentraient leurs défenses sur les postes de travail et les serveurs classiques. C'est pourquoi nos ordinateurs portables et nos smartphones sont équipés de logiciels de détection et de réponse des terminaux (EDR) ou d'antivirus.

Mais que se passe-t-il avec les équipements qui forment la colonne vertébrale de nos réseaux ? UNC5221 a choisi de ne pas frapper à la porte d'entrée, mais de s'attaquer directement aux fondations de la maison. Ils déploient BRICKSTORM sur des systèmes où les solutions de sécurité traditionnelles ne peuvent tout simplement pas fonctionner. Leurs cibles de prédilection incluent les appareils réseau comme les routeurs et les pare-feux, les passerelles de sécurité des e-mails, mais surtout, les gestionnaires et les hôtes de machines virtuelles. Le rapport souligne une tendance constante. Les attaquants ciblent systématiquement les environnements VMware, en particulier les hôtes vCenter et ESXi. En compromettant ces hyperviseurs, qui gèrent des parcs entiers de serveurs virtuels, les pirates obtiennent un accès quasi divin sur l'ensemble de l'infrastructure d'une organisation, tout en restant sous le radar.

https://storage.googleapis.com/gweb-cloudblog-publish/images/brickstorm-targeting.max-1500x1500.jpg

Ils ne choisissent pas leurs victimes au hasard. Leurs cibles dessinent une carte stratégique claire. Les secteurs les plus touchés sont les services juridiques, les fournisseurs de logiciels en tant que service (SaaS), les sous-traitants de processus métier (BPO) et les entreprises technologiques. Chaque cible a une valeur unique.

https://storage.googleapis.com/gweb-cloudblog-publish/images/brickstorm-iceberg.max-1700x1700.jpg

Les cabinets d'avocats sont visés pour obtenir des informations sensibles liées à la sécurité nationale américaine et au commerce international. Les fournisseurs SaaS et les BPO, quant à eux, ne sont pas des cibles finales, mais des tremplins. En les piratant, les attaquants obtiennent une porte d'entrée vers des centaines, voire des milliers de leurs clients en aval. C'est une attaque par la chaîne d'approvisionnement à grande échelle. Enfin, les entreprises technologiques sont une mine d'or pour le vol de propriété intellectuelle, notamment le code source. L'analyse de celui-ci peut non seulement servir à des fins de contrefaçon industrielle, mais aussi à identifier d'autres failles de sécurité, potentiellement des vulnérabilités de type “zero−day”. Une vulnérabilité “zero−day” est une faille inconnue des développeurs, ne leur laissant donc aucun timing pour la corriger avant qu'elle ne soit exploitée.

Une menace qui ne fait que commencer à se révéler

Si l'alerte est lancée aujourd'hui, ses répercussions se feront sentir pendant longtemps. Charles Carmakal, directeur de la technologie chez Mandiant Consulting, a prévenu que le public entendrait parler de cette menace pendant une période prolongée.

“À mesure que de plus en plus d'entreprises analyseront leurs systèmes, nous prévoyons d'entendre parler de cette campagne pendant les un à deux ans à venir”, a-t-il déclaré.

Pour aider les organisations à faire face, Mandiant a mis à disposition un scanner gratuit conçu pour rechercher les traces de BRICKSTORM. L'outil fonctionne en recherchant une combinaison de chaînes de caractères et de motifs hexadécimaux uniques à cette porte dérobée, a précisé Google. De nombreuses entreprises, en utilisant cet outil, vont découvrir des compromissions, qu'elles soient encore actives ou passées. Au cours des deux prochaines années, de nouvelles révélations émergeront à mesure que les victimes divulgueront les failles. BRICKSTORM est un rappel brutal que la cybersécurité ne se limite pas à la protection des ordinateurs que nous voyons. Les menaces les plus dangereuses sont souvent celles qui se cachent dans les infrastructures que nous tenons pour acquises. L'heure est à la vigilance et à la recherche proactive, car l'ennemi est peut-être déjà à l'intérieur.

Mon profil Facebook