Durante décadas, o software de virtualização ofereceu uma maneira de multiplicar amplamente a eficiência dos computadores, hospedando coleções inteiras de computadores como “máquinas virtuais” em apenas uma máquina física. E por quase tanto tempo, os pesquisadores de segurança alertaram sobre o potencial lado sombrio dessa tecnologia: ataques teóricos de “hiperjacking” e “Blue Pill”, onde hackers sequestram a virtualização para espionar e manipular máquinas virtuais, sem possibilidade de um computador alvo. para detectar a intrusão. Essa espionagem insidiosa finalmente saltou de trabalhos de pesquisa para a realidade com avisos de que uma misteriosa equipe de hackers realizou uma série de ataques de “hiperjacking” na natureza.
Hoje, o Google- A empresa de segurança de propriedade Mandiant e a empresa de virtualização VMware publicaram em conjunto avisos de que um sofisticado grupo de hackers está instalando backdoors no software de virtualização da VMware em redes de vários alvos como parte de uma aparente campanha de espionagem. Ao plantar seu próprio código nos chamados hipervisores das vítimas – software VMware que roda em um computador físico para gerenciar todas as máquinas virtuais que hospeda – os hackers puderam observar e executar comandos invisivelmente nos computadores que esses hipervisores supervisionam. E como o código malicioso tem como alvo o hipervisor na máquina física em vez das máquinas virtuais da vítima, o truque dos hackers multiplica seu acesso e evita quase todas as medidas de segurança tradicionais projetadas para monitorar essas máquinas alvo em busca de sinais de jogo sujo.
“A ideia de que você pode comprometer uma máquina e a partir daí ter a capacidade de controlar máquinas virtuais em massa é enorme ”, diz Alex Marvi, consultor da Mandiant. E mesmo observando de perto os processos de uma máquina virtual alvo, diz ele, um observador, em muitos casos, veria apenas “efeitos colaterais” da intrusão, uma vez que o malware que realizava essa espionagem havia infectado uma parte do sistema totalmente fora de sua operação. system.
Mandiant descobriu os hackers no início deste ano e trouxe suas técnicas para a atenção da VMware. Pesquisadores dizem que viram o grupo realizar seu hacking de virtualização – uma técnica historicamente apelidada de hyperjacking em referência ao “hipervisor hijacking” – em menos de 10 redes de vítimas na América do Norte e Ásia. Mandiant observa que os hackers, que não foram identificados como nenhum grupo conhecido, parecem estar ligados à China. Mas a empresa atribui a essa afirmação apenas uma classificação de “baixa confiança”, explicando que a avaliação é baseada em uma análise das vítimas do grupo e algumas semelhanças entre seu código e o de outros malwares conhecidos.
Embora as táticas do grupo pareçam raras, a Mandiant adverte que suas técnicas para contornar os controles de segurança tradicionais explorando a virtualização representam uma preocupação séria e provavelmente proliferarão e evoluirão entre outros grupos de hackers. “Agora que as pessoas sabem que isso é possível, isso vai apontar para outros ataques comparáveis”, diz Marvi, da Mandiant. “A evolução é a grande preocupação.”
Em um artigo técnico, Mandiant descreve como os hackers corromperam as configurações de virtualização das vítimas instalando uma versão maliciosa do pacote de instalação de software da VMware para substituir o legítimo versão. Isso permitiu que eles ocultassem dois backdoors diferentes, que a Mandiant chama de VirtualPita e VirtualPie, no programa de hipervisor da VMware conhecido como ESXi. Esses backdoors permitem que os hackers supervisionem e executem seus próprios comandos em máquinas virtuais gerenciadas pelo hipervisor infectado. Mandiant observa que os hackers não exploraram nenhuma vulnerabilidade corrigida no software da VMware, mas usaram acesso de nível de administrador aos hipervisores ESXi para plantar suas ferramentas de espionagem. Esse acesso de administrador sugere que o hacking de virtualização serviu como uma técnica de persistência, permitindo que eles ocultem sua espionagem de forma mais eficaz a longo prazo depois de obter acesso inicial à rede das vítimas por outros meios.
