Cyberprzestępcy nieustannie wymyślają nowe sposoby kradzieży cennych danych i wykorzystywania ich na swoją korzyść. Dane są niezwykle cenne na ciemnych rynkach, a jeden złośliwy podmiot może zarobić miliony na sprzedaży nielegalnie zdobytych informacji. Hyperjacking to kolejna nielegalna metoda, której można użyć do szpiegowania ofiar, kontrolowania urządzeń i kradzieży cennych informacji. Czym więc jest hyperjacking i jak się przed nim zabezpieczyć?
Co to jest hiperjacking?
Hyperjacking obejmuje kompromitację i nieautoryzowaną kontrolę nad maszyną wirtualną (VM). Tak więc, zanim szczegółowo omówimy hyperjacking, musimy najpierw zrozumieć, czym jest maszyna wirtualna.
Co to jest maszyna wirtualna?
Maszyna wirtualna jest właśnie tym: niefizyczną maszyną, która do działania używa oprogramowania do wirtualizacji zamiast sprzętu. Chociaż maszyny wirtualne muszą istnieć na elemencie sprzętu, działają one przy użyciu komponentów wirtualnych (takich jak wirtualny procesor).
Hypervisory stanowią szkielet maszyn wirtualnych
. Są to programy odpowiedzialne za tworzenie, uruchamianie i zarządzanie maszynami wirtualnymi. Jeden hiperwizor może obsługiwać wiele maszyny wirtualne lub wiele systemów operacyjnych gościa jednocześnie, co nadaje mu również alternatywną nazwę menedżera maszyny wirtualnej (VMM).Istnieją dwa rodzaje hiperwizorów. Pierwszy jest znany jako hiperwizor „bare metal” lub „natywny”, a drugi to hiperwizor „hosta”. Należy zauważyć, że to hiperwizory maszyn wirtualnych są celem ataków typu hyperjacking (stąd określenie „hyper-jacking”).
Geneza hiperjackingu
W połowie 2000 roku naukowcy odkryli, że hiperjacking jest możliwy. W tamtym czasie ataki typu hyperjacking były całkowicie teoretyczne, ale zawsze istniało zagrożenie ich przeprowadzenia. Wraz z rozwojem technologii i pomysłowością cyberprzestępców ryzyko ataków typu hyperjacking wzrasta z roku na rok.
W rzeczywistości we wrześniu 2022 roku zaczęły pojawiać się ostrzeżenia o prawdziwych atakach typu hyperjacking. Obydwa Mandiant i VMWare opublikowały ostrzeżenia stwierdzając, że znaleźli złośliwych aktorów wykorzystujących złośliwe oprogramowanie do przeprowadzania ataków typu hyperjacking na wolności za pośrednictwem szkodliwej wersji oprogramowania VMWare. W tym przedsięwzięciu cyberprzestępcy umieścili własny złośliwy kod w hiperwizorach ofiar, omijając jednocześnie środki bezpieczeństwa urządzeń docelowych (podobnie jak rootkit).
Dzięki temu exploitowi hakerzy, o których mowa, byli w stanie uruchamiać polecenia na urządzeniach hosta maszyn wirtualnych bez wykrycia.
Jak działa atak typu Hyperjacking?
Hypervisory są głównym celem ataków typu hyperjacking. W typowym ataku oryginalny hiperwizor zostanie zastąpiony przez instalację nieuczciwego, złośliwego hiperwizora, nad którym sprawuje kontrolę atakujący. Instalując nieuczciwy hiperwizor pod oryginalnym, atakujący może zatem przejąć kontrolę nad legalnym hiperwizorem i wykorzystać maszynę wirtualną.
Mając kontrolę nad hiperwizorem maszyny wirtualnej, atakujący może z kolei przejąć kontrolę nad całym serwerem VM. Oznacza to, że mogą manipulować wszystkim na maszynie wirtualnej. We wspomnianym ataku hyperjacking ogłoszonym we wrześniu 2022 r. stwierdzono, że hakerzy używali hyperjackingu do szpiegowania ofiar.
W porównaniu z innymi niezwykle popularnymi taktykami cyberprzestępczości, takimi jak phishing i ransomware, hiperjacking nie jest obecnie powszechny. Ale przy pierwszym potwierdzonym użyciu tej metody ważne jest, aby wiedzieć, jak zapewnić bezpieczeństwo swoim urządzeniom i danym.
Jak uniknąć hiperjackingu
Niestety stwierdzono, że hiperjacking pozwala uniknąć pewnych środków bezpieczeństwa obecnych na twoim urządzeniu. Ale to nie znaczy, że nie powinieneś nadal stosować wysokiego poziomu zabezpieczeń, aby zmniejszyć prawdopodobieństwo, że atakujący zaatakuje twój hypervisor.
Oczywiście zawsze należy upewnić się, że maszyna wirtualna jest dobrze wyposażona w różne warstwy zabezpieczeń. Na przykład możesz wyizolować każdą ze swoich maszyn wirtualnych za pomocą zapory siecioweji upewnij się, że urządzenie hosta ma odpowiednią ochronę antywirusową.
Należy również upewnić się, że hiperwizor jest regularnie aktualizowany, aby złośliwe podmioty nie mogły wykorzystywać błędów i luk w oprogramowaniu. Jest to jeden z najczęstszych sposobów przeprowadzania ataków przez cyberprzestępców, który czasami może wyrządzić wiele szkód, zanim dostawca oprogramowania dowie się o luce w zabezpieczeniach.
Powinieneś również ograniczyć urządzenia, do których twoja maszyna wirtualna ma dostęp. Gdy atakujący uzyska kontrolę nad maszyną wirtualną, może jej użyć do uzyskania dostępu do innego sprzętu, takiego jak urządzenie hosta. Staraj się nie łączyć maszyny wirtualnej z niepotrzebnymi urządzeniami, aby uniknąć dalszego wykorzystania jej przez atakującego w przypadku naruszenia zabezpieczeń.
Hyperjacking może stać się poważnym problemem w najbliższej przyszłości
Chociaż hiperjacking wydaje się stosunkowo nową praktykowaną taktyką cyberprzestępczości, istnieje duża szansa, że tak rozpowszechnienie zacznie rosnąć wśród grup hakerskich, które chcą wykorzystywać maszyny, szpiegować ofiary i kraść dane. Tak więc, jeśli masz jedną lub więcej maszyn wirtualnych, upewnij się, że chronisz je w jak największym stopniu, aby nie paść ofiarą ataku typu hyperjacking.