[ad_1]
Trong nhiều thập kỷ, ảo hóa phần mềm đã cung cấp một cách để nhân lên đáng kể hiệu quả của máy tính, lưu trữ toàn bộ bộ sưu tập máy tính dưới dạng “máy ảo” chỉ trên một máy tính vật lý. Và từ lâu, các nhà nghiên cứu bảo mật đã cảnh báo về mặt tối tiềm ẩn của công nghệ đó: các cuộc tấn công “siêu tấn công” và “Blue Pill” trên lý thuyết, trong đó tin tặc chiếm quyền điều khiển ảo hóa để theo dõi và thao túng các máy ảo, không có cách nào cho một máy tính được nhắm mục tiêu để phát hiện sự xâm nhập. Hoạt động gián điệp ngấm ngầm đó cuối cùng đã chuyển từ các tài liệu nghiên cứu thành hiện thực với cảnh báo rằng một nhóm tin tặc bí ẩn đã thực hiện một loạt các cuộc tấn công “siêu tấn công” trong tự nhiên.
Hôm nay, công ty bảo mật Mandiant thuộc sở hữu của Google và công ty ảo hóa VMware đã cùng công bố cảnh báo rằng một nhóm tin tặc tinh vi đã cài đặt backdoor trong phần mềm ảo hóa của VMware trên mạng của nhiều mục tiêu như một phần của chiến dịch gián điệp rõ ràng. Bằng cách đặt mã riêng của chúng vào cái gọi là siêu giám sát của nạn nhân — phần mềm VMware chạy trên một máy tính vật lý để quản lý tất cả các máy ảo mà nó lưu trữ — tin tặc có thể vô hình theo dõi và chạy các lệnh trên máy tính mà các siêu giám sát đó giám sát. Và bởi vì mã độc nhắm mục tiêu vào hypervisor trên máy vật lý chứ không phải máy ảo của nạn nhân, thủ thuật của tin tặc nhân rộng quyền truy cập của chúng và né tránh gần như tất cả các biện pháp bảo mật truyền thống được thiết kế để giám sát các máy mục tiêu đó để tìm dấu hiệu chơi xấu.
“Ý tưởng rằng bạn có thể xâm nhập một máy và từ đó có khả năng điều khiển các máy ảo en masse Alex Marvi, chuyên gia tư vấn của Mandiant cho biết. Và thậm chí theo dõi chặt chẽ các quy trình của một máy ảo mục tiêu, ông nói, trong nhiều trường hợp, một người quan sát sẽ chỉ thấy “tác dụng phụ” của sự xâm nhập, vì phần mềm độc hại thực hiện gián điệp đã lây nhiễm một phần của hệ thống hoàn toàn nằm ngoài hoạt động của nó. hệ thống.
Mandiant đã phát hiện ra các tin tặc vào đầu năm nay và đưa các kỹ thuật của chúng khiến VMware chú ý. Các nhà nghiên cứu cho biết họ đã thấy nhóm thực hiện hack ảo hóa của họ – một kỹ thuật được gọi là siêu tấn công trong lịch sử có liên quan đến “chiếm quyền điều khiển siêu giám sát” – trong ít hơn 10 mạng của nạn nhân trên khắp Bắc Mỹ và Châu Á. Mandiant lưu ý rằng các tin tặc, chưa được xác định là bất kỳ nhóm nào đã biết, dường như có liên quan đến Trung Quốc. Nhưng công ty chỉ đưa ra tuyên bố đó xếp hạng “độ tin cậy thấp”, giải thích rằng đánh giá dựa trên phân tích các nạn nhân của nhóm và một số điểm tương đồng giữa mã của họ và mã của phần mềm độc hại đã biết khác.
Mặc dù các chiến thuật của nhóm này có vẻ hiếm, nhưng Mandiant cảnh báo rằng các kỹ thuật của họ để vượt qua các biện pháp kiểm soát bảo mật truyền thống bằng cách khai thác ảo hóa là mối quan tâm nghiêm trọng và có khả năng sinh sôi và phát triển giữa các nhóm hacker khác. Marvi của Mandiant cho biết: “Bây giờ mọi người biết điều này là có thể xảy ra, nó sẽ hướng họ đến các cuộc tấn công tương tự khác. “Tiến hóa là mối quan tâm lớn.”
Trong một bài viết kỹ thuật, Mandiant mô tả cách tin tặc làm hỏng thiết lập ảo hóa của nạn nhân bằng cách cài đặt phiên bản độc hại của gói cài đặt phần mềm của VMware để thay thế phiên bản hợp pháp. Điều đó cho phép họ ẩn hai backdoor khác nhau, mà Mandiant gọi là VirtualPita và VirtualPie, trong chương trình siêu giám sát của VMware được gọi là ESXi. Các cửa hậu đó cho phép tin tặc khảo sát và chạy các lệnh của riêng chúng trên các máy ảo do hypervisor bị nhiễm độc quản lý. Mandiant lưu ý rằng các tin tặc không thực sự khai thác bất kỳ lỗ hổng bảo mật nào trong phần mềm của VMware, mà thay vào đó, họ sử dụng quyền truy cập cấp quản trị viên vào các siêu giám sát ESXi để cài đặt các công cụ gián điệp của họ. Quyền truy cập quản trị đó cho thấy rằng việc hack ảo hóa của họ được coi là một kỹ thuật bền bỉ, cho phép họ che giấu hoạt động gián điệp hiệu quả hơn trong thời gian dài sau khi có được quyền truy cập ban đầu vào mạng của nạn nhân thông qua các phương tiện khác.
cài đặt phần mềm online
[ad_2]