I ricercatori di Mandiant hanno scoperto un nuovo tipo di malware che permette di effettuare attacchi “hyperjacking” contro gli hypervisor VMware ESXi. Ignoti cybercriminali cinesi hanno trovato il modo di installare due backdoor che consentono di prendere il controllo delle macchine virtuali. Si tratta di un grave pericolo per la sicurezza aziendale, in quanto gli attacchi sono difficili da rilevare.
Hyperjacking: rischio elevato per le macchine virtuali
Mandiant sottolinea che per l’accesso a VMware ESXi non è stata sfruttata nessuna vulnerabilità e che occorrono i privilegi di amministratore. In qualche modo i cybercriminali sono riusciti ad installare le backdoor VirtualPita e VirtualPie, utilizzando versioni infette dei vSphere Installation Bundles, un insieme di file che permettono agli amministratori di gestire le macchine virtuali attraverso varie operazioni.
VirtualPita è una backdoor a 64 bit che utilizza spesso nomi e porte dei servizi VMware per evitare la rilevazione. Può eseguire comandi arbitrari, caricare e scaricare file, avviare e fermare il logging. VirtualPie è invece una backdoor scritta in Python che può trasferire file e installare reverse shell. Nelle macchine virtuali Windows gestite da VMware ESXi è stato trovato anche il malware VirtualGate.
Tutti i dettagli tecnici sono disponibili sul sito di Mandiant. VMware ha pubblicato una guida per migliorare la sicurezza dell’hypervisor. Un attacco hyperjacking potrebbe avere conseguenze disastrose per le aziende che utilizzano migliaia di macchine virtuali, in quanto l’accesso a VMware ESXi consente di prendere il controllo totale dei sistemi.
Ti potrebbe interessare
3 ott 2022