美加网络安全机构：中共国家支持的黑客使用“Brickstorm”攻击关键基础设施

CISA, NSA and Cyber Centre Warn Critical Infrastructure of BRICKSTORM Malware Used
by People’s Republic of China State-Sponsored Actors
美国网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）与加拿大网络安全中心警告关键基础设施：
中华人民共和国国家支持行为者使用“砖暴（Brickstorm）”恶意软件

新的联合通告敦促立即开展系统评估、缓解行动并向美国网络安全和基础设施安全局报告事件

发布日期：2025年12月4日
相关主题：网络安全最佳实践

华盛顿——今天，美国网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）以及加拿大网络安全中心(Cyber Centre)联合发布了一份关于“砖暴（Brickstorm）”恶意软件的分析报告。“砖暴”是一种针对威睿虚拟化平台（VMware vSphere）（尤其是虚拟中心管理服务器）和Windows系统环境的复杂后门程序，被中华人民共和国国家支持的网络行为体所利用。该报告提供了入侵指标和检测特征，帮助关键基础设施的所有者和运营者判断自身是否已经遭到入侵，并给出建议的缓解措施，以防范这类范围广泛的中华人民共和国相关活动。

美国网络安全和基础设施安全局分析了从受害组织取得的8个“砖暴”样本，其中包括一家具美国网络安全和基础设施安全局参与事件响应工作的机构。“砖暴”具备高级功能，可以隐藏通信、在受害网络内部横向移动并通过多种方式建立隧道，还能在遭到干扰时自动重新安装或重启恶意软件。中华人民共和国的网络行为体利用“砖暴”实现持久访问，主要锁定政府部门和资讯科技领域的机构作为攻击目标。

美国网络安全和基础设施安全局代理局长马杜·戈杜穆卡拉表示：“这份通告凸显出中华人民共和国带来的严重威胁，这些威胁持续制造网络安全暴露点，并给美利坚合众国、我们的盟友以及我们所有人赖以生存的关键基础设施带来长期成本。这些国家支持的行为体不仅仅是在渗透网络，而是在网络内部扎根，为长期访问、干扰乃至潜在的破坏行为预作准备。美国网络安全和基础设施安全局在与国内外合作伙伴紧密协调下，敦促每一个组织以这一威胁所要求的严肃程度来对待它：认真研读报告、不拖延地落实建议的缓解措施，并报告任何可疑活动。网络防御就是国家防御——而一切始于行动。”

通告敦促关键基础设施组织，尤其是联邦政府机构和资讯科技领域机构，使用报告中提供的入侵指标、检测特征以及相关资源，例如由美国网络安全和基础设施安全局制定的“雅拉规则”和“西格玛规则”——这两类规则都是面向安全分析人员的开源标准化检测方法。发现“砖暴”、类似恶意软件或可能相关活动的组织，被敦促联系美国网络安全和基础设施安全局，可通过该局全天候运行的行动中心，以电子邮件联系 contact@cisa.dhs.gov，或拨打电话 (888) 282-0870。

美国网络安全和基础设施安全局网络安全事务执行助理局长尼克·安德森表示：“‘砖暴’是一种与中华人民共和国国家支持网络行为体相关联的复杂且隐蔽的后门恶意软件。鉴于这一网络威胁仍在持续，我们强烈呼吁各类组织评估自身环境，识别任何入侵迹象，并落实建议的缓解措施，以强化自身防御能力。”

报告中建议的行动包括：使用报告中提供的检测特征和规则扫描系统以查找“砖暴”；全面清点所有网络边界设备；监控边界设备是否存在可疑网络连接；确保正确实施网络分区隔离；并落实跨部门网络安全绩效目标。

如需更多信息，请参阅“中华人民共和国威胁概况与通报”相关页面。

关于美国网络安全和基础设施安全局（CISA）
作为国家级网络防御机构以及关键基础设施安全的国家协调方，美国网络安全和基础设施安全局牵头推进全国行动，致力于理解、管理和降低数字与物理基础设施所面临的风险，而美国民众每时每刻都依赖这些基础设施运转。

中共驻美使馆发言人刘鹏宇在邮件里表态：
“中国政府不会“鼓励、支持或纵容网络攻击”，并称中方“拒绝有关方面对相关活动作出的不负责任指控”，因为对方“既没有就此提出任何相关请求，也没有提供任何事实证据”。”

美国网络安全和基础设施安全局 | 美国网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）与加拿大网络安全中心警告关键基础设施：中华人民共和国国家支持行为者使用“砖暴”恶意软件