Onlarca yıldır sanallaştırma yazılım, tüm bilgisayar koleksiyonlarını yalnızca tek bir fiziksel bilgisayarda “sanal makineler” olarak barındırarak bilgisayarların verimliliğini büyük ölçüde artırmanın bir yolunu sundu. Ve neredeyse bir süredir, güvenlik araştırmacıları bu teknolojinin potansiyel karanlık yüzü hakkında uyardılar: bilgisayar korsanlarının sanal makineleri gözetlemek ve sanal makineleri manipüle etmek için sanallaştırmayı ele geçirdiği ve potansiyel olarak hedeflenen bir bilgisayar için hiçbir yolu olmayan teorik “hiperjacking” ve “Blue Pill” saldırıları. izinsiz girişi tespit etmek için. Bu sinsi casusluk, sonunda gizemli bir hacker ekibinin vahşi doğada bir dizi “hiperjacking” saldırısı düzenlediği uyarılarıyla araştırma makalelerinden gerçeğe sıçradı.
Bugün, Google’ın sahip olduğu güvenlik firması Mandiant ve sanallaştırma firması VMware, karmaşık bir hacker grubunun, görünür bir casusluk kampanyasının parçası olarak birden çok hedefin ağına VMware’in sanallaştırma yazılımına arka kapılar yüklediğine dair ortak bir uyarı yayınladı. Bilgisayar korsanları, kurbanların sözde hiper denetleyicilerine (barındırdığı tüm sanal makineleri yönetmek için fiziksel bir bilgisayarda çalışan VMware yazılımı) kendi kodlarını yerleştirerek, bu hiper denetleyicilerin denetlediği bilgisayarlarda görünmez bir şekilde komutları izleyip çalıştırabildiler. Kötü niyetli kod, kurbanın sanal makinelerinden ziyade fiziksel makinedeki hipervizörü hedef aldığından, bilgisayar korsanlarının hilesi erişimlerini çoğaltır ve bu hedef makineleri kötü oyun belirtilerine karşı izlemek için tasarlanmış neredeyse tüm geleneksel güvenlik önlemlerini atlatır.
“Bir makineden ödün verebileceğiniz ve oradan sanal makineleri kontrol etme yeteneğine sahip olabileceğiniz fikri çok fazla çok büyük,” diyor Mandiant danışmanı Alex Marvi. Ve hatta hedef sanal makinenin süreçlerini yakından izleyen bir gözlemcinin, casusluğu gerçekleştiren kötü amaçlı yazılımın sistemin tamamen dışında kalan bir sisteme bulaştığı göz önüne alındığında, çoğu durumda izinsiz girişin yalnızca “yan etkilerini” göreceğini söylüyor. sistem.
Mandiant, bu yılın başlarında bilgisayar korsanlarını keşfetti ve tekniklerini VMware’in dikkatine sundu. Araştırmacılar, grubun sanallaştırma korsanlığını (tarihsel olarak “hipervizör kaçırma” olarak adlandırılan bir teknik olan) Kuzey Amerika ve Asya’daki 10’dan az kurban ağında gerçekleştirdiğini gördüklerini söylüyorlar. Mandiant, bilinen herhangi bir grup olarak tanımlanmayan bilgisayar korsanlarının Çin ile bağlantılı göründüğünü belirtiyor. Ancak şirket, bu iddiaya yalnızca “düşük güven” derecesi vererek, değerlendirmenin grubun kurbanlarının analizine ve kodları ile bilinen diğer kötü amaçlı yazılımların kodu arasındaki bazı benzerliklere dayandığını açıklıyor.
Grubun taktikleri nadir gibi görünse de Mandiant, sanallaştırmayı kullanarak geleneksel güvenlik kontrollerini atlama tekniklerinin ciddi bir endişe kaynağı olduğu ve diğer hacker grupları arasında çoğalıp gelişeceği konusunda uyarıyor. Mandiant’tan Marvi, “Artık insanlar bunun mümkün olduğunu bildiğine göre, onları benzer saldırılara yönlendirecek” diyor. “Evrim en büyük endişe.”
Teknik bir yazıda Mandiant, bilgisayar korsanlarının meşru sürümü değiştirmek için VMware’in yazılım yükleme paketinin kötü amaçlı bir sürümünü yükleyerek kurbanların sanallaştırma kurulumlarını nasıl bozduğunu açıklıyor. Bu, Mandiant’ın VirtualPita ve VirtualPie olarak adlandırdığı iki farklı arka kapıyı, VMware’in ESXi olarak bilinen hiper yönetici programında gizlemelerine izin verdi. Bu arka kapılar, bilgisayar korsanlarının, virüs bulaşmış hiper yönetici tarafından yönetilen sanal makineleri izlemesine ve kendi komutlarını çalıştırmasına izin verir. Mandiant, bilgisayar korsanlarının VMware yazılımındaki herhangi bir yama yapılabilir güvenlik açığından yararlanmadığını, bunun yerine casus araçlarını yerleştirmek için ESXi hipervizörlerine yönetici düzeyinde erişim kullandığını belirtiyor. Bu yönetici erişimi, sanallaştırma korsanlığının bir kalıcılık tekniği olarak hizmet ettiğini ve kurbanların ağına başka yollarla ilk erişim sağladıktan sonra casusluklarını uzun vadede daha etkili bir şekilde gizlemelerine izin verdiğini gösteriyor.