Infractorii cibernetici inventează în mod constant noi moduri de a fura date prețioase și de a le folosi în avantajul lor. Datele sunt extrem de valoroase pe piețele întunecate, iar un singur actor rău intenționat ar putea câștiga milioane din vânzarea de informații obținute ilegal. Hyperjacking este o altă metodă ilegală care poate fi folosită pentru a spiona victimele, a controla dispozitivele și a fura informații valoroase. Deci, ce este hyperjacking-ul și cum poți fi în siguranță de el?
Ce este Hyperjacking-ul?
Hyperjacking implică compromisul și controlul neautorizat al unei mașini virtuale (VM). Deci, înainte de a discuta în detaliu hyperjacking, va trebui mai întâi să înțelegem ce este o mașină virtuală.
Ce este o mașină virtuală?
O mașină virtuală este doar asta: o mașină non-fizică care utilizează software de virtualizare în loc de hardware pentru a funcționa. Deși mașinile virtuale trebuie să existe pe o piesă hardware, ele funcționează folosind componente virtuale (cum ar fi un procesor virtual).
Hypervisorii formează coloana vertebrală a mașinilor virtuale. Acestea sunt programe software care sunt responsabile pentru crearea, rularea și gestionarea VM-urilor. Un singur hypervisor poate găzdui mai multe mașini virtuale sau mai multe sisteme de operare invitate, la un moment dat, ceea ce îi dă și numele alternativ de manager de mașini virtuale (VMM).
Există două tipuri de hipervizori. Primul este cunoscut sub numele de hipervizor „bare metal” sau „nativ”, al doilea fiind un hipervizor „gazdă”. Ceea ce ar trebui să rețineți este că hipervizoarele mașinilor virtuale sunt ținta atacurilor de tip hyperjacking (de unde și termenul „hyper-jacking”).
Originile Hyperjacking-ului
La mijlocul anilor 2000, cercetătorii au descoperit că hiperjacking era o posibilitate. La acea vreme, atacurile de hyperjacking erau în întregime teoretice, dar amenințarea ca unul să fie efectuat a existat întotdeauna. Pe măsură ce tehnologia avansează și infractorii cibernetici devin mai inventivi, riscul atacurilor de tip hyperjacking crește de la un an la altul.
De fapt, în septembrie 2022, au început să apară avertismente de atacuri reale de hyperjacking. Ambii Mandiant și VMWare au publicat avertismente declarând că au găsit actori rău intenționați care foloseau programe malware pentru a efectua atacuri de tip hyperjacking în sălbăticie printr-o versiune dăunătoare a software-ului VMWare. În această afacere, actorii amenințărilor și-au inserat propriul cod rău intenționat în hipervizoarele victimelor, ocolind măsurile de securitate ale dispozitivelor țintă (similar cu un rootkit).
Prin acest exploit, hackerii în cauză au putut rula comenzi pe dispozitivele gazdă ale mașinilor virtuale fără a fi detectați.
Cum funcționează un atac de hiperjacking?
Hypervisorii sunt ținta cheie a atacurilor de tip hyperjacking. Într-un atac obișnuit, hypervisorul original va fi înlocuit prin instalarea unui hypervisor rău intenționat, pe care actorul amenințării îl deține control. Prin instalarea unui hypervisor necinstiți sub originalul, atacatorul poate, prin urmare, să câștige controlul asupra hypervisorului legitim și să exploateze VM.
Deținând controlul asupra hypervisorului unei mașini virtuale, atacatorul poate, la rândul său, să obțină controlul asupra întregului server VM. Aceasta înseamnă că pot manipula orice în mașina virtuală. În atacul de hyperjacking menționat mai sus anunțat în septembrie 2022, s-a constatat că hackerii foloseau hyperjacking pentru a spiona victimele.
În comparație cu alte tactici de criminalitate cibernetică extrem de populare, cum ar fi phishingul și ransomware, hyperjacking-ul nu este foarte comun în acest moment. Dar odată cu prima utilizare confirmată a acestei metode, este important să știți cum să vă păstrați dispozitivele și datele în siguranță.
Cum să evitați Hyperjacking
Din păcate, s-a constatat că hyperjacking eluda anumite măsuri de securitate prezente pe dispozitivul dvs. Dar asta nu înseamnă că nu ar trebui să folosești în continuare niveluri ridicate de protecție pentru a reduce șansa ca un atacator să țintească hipervizorul tău.
Desigur, ar trebui să vă asigurați întotdeauna că mașina dvs. virtuală este bine echipată cu diferite straturi de securitate. De exemplu, puteți izola fiecare dintre mașinile dvs. virtuale folosind un firewallși asigurați-vă că dispozitivul dvs. gazdă are protecție antivirus adecvată.
De asemenea, ar trebui să vă asigurați că hipervizorul este corectat în mod regulat, astfel încât actorii rău intenționați să nu exploateze erorile și vulnerabilitățile din software. Acesta este unul dintre cele mai comune moduri prin care infractorii cibernetici efectuează atacuri și uneori pot face multe daune înainte ca furnizorul de software să devină conștient de defectul de securitate.
Ar trebui să limitați și dispozitivele la care mașina dvs. virtuală are acces. Când un atacator obține controlul asupra unei mașini virtuale, o poate folosi pentru a accesa alt hardware, cum ar fi dispozitivul gazdă. Încercați să nu vă conectați VM-ul la dispozitive inutile pentru a evita ca un atacator să o exploateze în continuare dacă este compromis.
Hyperjacking-ul poate deveni o problemă semnificativă în viitorul apropiat
Deși hyperjacking pare relativ nou ca tactică practicată de criminalitate cibernetică, există șanse mari ca aceasta prevalența va începe să crească în rândul grupurilor de hackeri care doresc să exploateze mașini, să spioneze victimele și să fure date. Deci, dacă aveți una sau mai multe mașini virtuale, asigurați-vă că le protejați cât mai mult posibil pentru a evita să cădeți victima unui atac de tip hyperjacking.