Les autorités américaines et canadiennes alertent sur BRICKSTORM, porte dérobée furtive utilisée par des pirates chinois pour espionner réseaux gouvernementaux et fournisseurs de services informatiques.
TL;DR : L’essentiel
- Les agences de cybersécurité américaines et canadiennes signalent un logiciel malveillant baptisé BRICKSTORM, utilisé par des pirates liés à l’État chinois pour mener des opérations d’espionnage de longue durée dans des réseaux gouvernementaux et du secteur informatique.
- Décrit comme une porte dérobée avancée, BRICKSTORM cible particulièrement les environnements VMware vSphere, au cœur de nombreuses infrastructures de serveurs, ainsi que des systèmes Windows, offrant un accès persistant aux attaquants.
- Les autorités soulignent que ce code malveillant, développé en langage Go, est conçu pour rester discret sur les systèmes compromis, afin de collecter des informations sensibles sans être détecté pendant de longues périodes.
- L’alerte conjointe de plusieurs agences nord-américaines s’inscrit dans un contexte de tensions croissantes autour des campagnes de cyberespionnage attribuées à la République populaire de Chine, visant administrations, opérateurs technologiques et prestataires de services informatiques.
Les autorités de cybersécurité des États-Unis et du Canada tirent la sonnette d’alarme autour d’un nouvel outil d’espionnage numérique ciblant le cœur des infrastructures informatiques modernes. Un avis conjoint met en lumière un logiciel malveillant baptisé BRICKSTORM, attribué à des pirates chinois et déployé contre des réseaux gouvernementaux et des entreprises du secteur des technologies de l’information. Selon HackRead, cette campagne illustre une stratégie de long terme visant à rester présent, silencieusement, dans des environnements critiques tout en exfiltrant des données sensibles.
BRICKSTORM, une porte dérobée furtive pour VMware vSphere et Windows
Les agences de cybersécurité décrivent BRICKSTORM comme une « backdoor » sophistiquée. Une backdoor, ou porte dérobée, désigne un programme qui permet à un attaquant de revenir à volonté sur un système compromis sans passer par les mécanismes d’authentification classiques. Concrètement, même si un mot de passe est changé ou un compte désactivé, la porte reste ouverte tant que le logiciel malveillant n’est pas repéré et supprimé. Dans le cas de BRICKSTORM, cette capacité est déployée spécifiquement dans des environnements VMware vSphere et Windows, pilier de nombreuses architectures de serveurs dans les administrations et grandes entreprises.
VMware vSphere est une plateforme de virtualisation largement utilisée pour exécuter de multiples machines virtuelles sur un même serveur physique. Compromettre ce type d’infrastructure offre aux attaquants un avantage stratégique : en contrôlant l’hyperviseur ou les composants qui l’entourent, il devient possible d’observer, d’intercepter ou de manipuler plusieurs systèmes critiques à partir d’un seul point d’accès. Les acteurs malveillants peuvent ainsi surveiller le trafic, extraire des informations ou préparer d’autres attaques tout en restant difficiles à détecter. BRICKSTORM s’inscrit dans cette logique de ciblage de la couche d’infrastructure, plutôt que d’une seule machine utilisateur.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les autorités soulignent également que BRICKSTORM est écrit en langage Go, aussi appelé Golang. Ce langage de programmation, créé par un grand acteur du numérique, est apprécié pour sa performance, sa portabilité et sa facilité de compilation sur différentes plateformes. Pour les attaquants, cela signifie qu’un même code peut être adapté relativement facilement à plusieurs systèmes d’exploitation et architectures matérielles. De plus, les binaires en Go peuvent parfois être plus complexes à analyser pour certains outils de sécurité traditionnels, ce qui renforce le caractère furtif d’une menace comme BRICKSTORM lorsqu’elle est déployée dans un réseau déjà très chargé en logiciels.
Les agences américaines et canadiennes insistent sur l’objectif essentiel de cette porte dérobée : maintenir une « persistance à long terme » sur les systèmes infectés. Cette persistance désigne la capacité d’un logiciel malveillant à survivre aux redémarrages, aux mises à jour et aux opérations courantes d’administration du système. Dans un environnement de production, un serveur VMware vSphere ou Windows peut fonctionner sans interruption pendant de longues périodes, ce qui facilite le travail d’un espion numérique. Comme le détaille The Hacker News, BRICKSTORM est précisément utilisé pour conserver cet accès dans la durée au sein de réseaux déjà compromis.
Un outil d’espionnage de longue durée visant administrations et prestataires IT
Au-delà de l’aspect purement technique, l’alerte met en lumière la nature stratégique de ces opérations. Les agences de cybersécurité évoquent des pirates présumés proches de l’Etat chinois, ce qui renvoie à des groupes travaillant directement ou indirectement pour des services gouvernementaux. L’objectif n’est pas le sabotage spectaculaire mais la collecte prolongée d’informations : documents internes, communications sensibles, données relatives à des projets ou contrats, voire détails sur l’architecture des réseaux visés. Cette approche d’espionnage discret et continu permet d’alimenter à la fois des objectifs politiques, économiques ou militaires.
Les cibles mentionnées incluent des réseaux gouvernementaux et des acteurs du secteur des technologies de l’information. Les réseaux gouvernementaux regroupent notamment des ministères, agences publiques et organismes de régulation. Les prestataires informatiques, de leur côté, occupent une place centrale dans la chaîne de valeur numérique : ils gèrent des centres de données, des services de cloud ou de maintenance pour le compte de multiples clients. En compromettant un prestataire, un attaquant peut espérer atteindre indirectement plusieurs organisations clientes, parfois situées dans différents pays. Ce type de scénario explique pourquoi la compromission d’environnements VMware et Windows à ce niveau d’infrastructure est particulièrement intéressante pour ces cybercriminels.
La furtivité de BRICKSTORM est un autre élément clé mis en avant. Un logiciel malveillant est dit furtif lorsqu’il est conçu pour se fondre dans l’activité normale du système, éviter le déclenchement d’alertes de sécurité et limiter les traces visibles dans les journaux d’événements. Cette discrétion est essentielle pour réussir une opération d’espionnage de longue durée. Si la menace est détectée trop tôt, l’accès est coupé et l’attaquant perd sa visibilité. Les autorités indiquent que BRICKSTORM a précisément été pensé pour réduire ces risques de détection, ce qui oblige les équipes de sécurité à renforcer leur surveillance des environnements virtualisés et des systèmes Windows clés.
Pour les organisations publiques comme privées, y compris en Europe et en Suisse, cette alerte souligne la nécessité de protéger au mieux les hyperviseurs, consoles d’administration, serveurs de virtualisation et plateformes Windows de gestion. Si ces composants sont souvent considérés comme purement techniques, ils représentent en réalité des points d’entrée privilégiés pour les campagnes d’espionnage étatiques. La mise à jour régulière des systèmes, la surveillance des comportements anormaux et l’audit des configurations VMware et Windows deviennent des éléments incontournables de toute stratégie de cybersécurité.
En dressant le portrait de BRICKSTORM, les agences nord-américaines rappellent enfin que la menace ne se limite pas aux terminaux ou aux applications visibles des utilisateurs. Les attaques les plus stratégiques visent aujourd’hui les infrastructures sous-jacentes, capables d’ouvrir l’accès à des pans entiers de l’activité d’une organisation.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
