ミステリーハッカーは、陰湿なスパイ活動の「ハイパージャック」の標的です


何十年もの間、仮想化 ソフトウェアは、1 台の物理コンピューター上でコンピューターのコレクション全体を「仮想マシン」としてホストすることで、コンピューターの効率を大幅に向上させる方法を提供してきました。 そして、ほぼ同じ期間、セキュリティ研究者は、そのテクノロジーの潜在的な暗黒面について警告してきました。ハッカーが仮想化をハイジャックして仮想マシンをスパイし、操作する理論的な「ハイパージャック」および「ブルー ピル」攻撃であり、標的となるコンピューターを入手する方法がない可能性があります。侵入を検知します。 この狡猾なスパイ行為は、ある謎のハッカー チームが「ハイパージャック」攻撃を実地で実行したという警告とともに、研究論文からついに現実のものとなりました。

本日、Google が所有するセキュリティ会社 Mandiant と仮想化会社 VMware は共同で、巧妙なハッカー グループが明らかにスパイ活動の一環として複数の標的のネットワーク上に VMware の仮想化ソフトウェアにバックドアをインストールしているという警告を発表しました。 被害者のいわゆるハイパーバイザー (ホストするすべての仮想マシンを管理するために物理コンピューター上で実行される VMware ソフトウェア) に独自のコードを埋め込むことにより、ハッカーはこれらのハイパーバイザーが監視するコンピューター上でコマンドを目に見えないように監視して実行することができました。 また、悪意のあるコードは被害者の仮想マシンではなく、物理マシン上のハイパーバイザーを標的にしているため、ハッカーのトリックはアクセスを増やし、標的のマシンで不正行為の兆候を監視するように設計された従来のセキュリティ対策のほぼすべてを回避します。

「1 台のマシンを侵害して、そこから仮想マシンを制御できるという考え まとめて Mandiant のコンサルタントである Alex Marvi 氏は次のように述べています。 そして、標的の仮想マシンのプロセスを注意深く観察しても、多くの場合、観察者は侵入の「副次的影響」しか見ないだろうと彼は言います。そのスパイ活動を実行するマルウェアが、システムの一部を完全に動作していない場所に感染させたからです。システム。

Mandiant は今年初めにこのハッカーを発見し、その技術を VMware に知らせました。 研究者は、このグループが仮想化ハッキング (「ハイパーバイザー ハイジャック」に関連して歴史的にハイパージャッキングと呼ばれていた手法) を、北米とアジアの 10 人未満の被害者ネットワークで実行しているのを見たと述べています。 Mandiant は、既知のグループとして特定されていないハッカーは、中国と結びついているように見えると述べています。 しかし、同社はその主張に「信頼度が低い」評価しか与えておらず、その評価はグループの被害者の分析と、彼らのコードと他の既知のマルウェアのコードとのいくつかの類似点に基づいていると説明しています.

このグループの戦術は珍しいように見えますが、Mandiant は、仮想化を悪用して従来のセキュリティ制御を回避する彼らの技術は重大な懸念事項であり、他のハッカー グループの間で増殖および進化する可能性が高いと警告しています。 Mandiant の Marvi 氏は次のように述べています。 「進化は大きな関心事です。」

Mandiant は技術記事の中で、ハッカーが VMware のソフトウェア インストール バンドルの悪意のあるバージョンをインストールして正規のバージョンを置き換えることで、被害者の仮想化セットアップを破壊した方法について説明しています。 これにより、Mandiant が VirtualPita と VirtualPie と呼ぶ 2 つの異なるバックドアを、ESXi として知られる VMware のハイパーバイザー プログラムに隠すことができました。 これらのバックドアにより、ハッカーは感染したハイパーバイザーが管理する仮想マシンを監視し、独自のコマンドを実行できます。 Mandiant は、ハッカーが実際に VMware のソフトウェアのパッチ適用可能な脆弱性を悪用したのではなく、代わりに ESXi ハイパーバイザーへの管理者レベルのアクセスを使用してスパイ ツールを仕掛けたと指摘しています。 この管理者アクセスは、彼らの仮想化ハッキングが永続的な手法として機能し、他の手段で被害者のネットワークへの最初のアクセスを取得した後、スパイ活動をより効果的に長期的に隠すことを可能にしたことを示唆しています.

コメントする