Les criminels ont réussi à compromettre les hyperviseurs ESXi de VMware et à accéder à d’innombrables machines virtuelles, ce qui signifie qu’ils peuvent espionner de nombreuses entreprises utilisant le matériel sans que ces entreprises ne sachent jamais qu’elles sont espionnées.
L’avertissement a été lancé par la société de renseignement sur les cybermenaces Mandiant, en collaboration avec la société de virtualisation VMware.
Selon les deux sociétés, des pirates inconnus ayant des liens possibles avec la Chine ont installé deux programmes malveillants sur des hyperviseurs bare metal, à l’aide de vSphere Installation Bundles. Ils les ont nommés VirtualPita et VirtualPie (« Pita » signifie aussi « tarte » dans certaines langues slaves). De plus, ils ont découvert un malware/dropper unique appelé VirtualGate.
Aucune vulnérabilité
Ce qu’il est important de noter, c’est que les attaquants n’ont pas trouvé de vulnérabilité zero-day ou exploité une autre vulnérabilité connue. Au lieu de cela, ils ont utilisé un accès de niveau administrateur aux hyperviseurs ESXi pour installer leurs outils.
Parler à FILAIREVMware a déclaré que « bien qu’il n’y ait aucune vulnérabilité VMware impliquée, nous soulignons la nécessité de solides pratiques de sécurité opérationnelle qui incluent la gestion sécurisée des informations d’identification et la sécurité du réseau ».
VMware a également déclaré avoir préparé un guide de « renforcement » pour les administrateurs de configuration de VMware, qui devrait les aider à se protéger contre ce type d’attaque.
L’auteur de la menace est suivi en tant que UNC3886. Les chercheurs disent que bien qu’il montre des signes d’être un groupe basé en Chine (les victimes sont les mêmes que pour certains autres groupes chinois ; il y a certaines similitudes dans le malware (s’ouvre dans un nouvel onglet) code et d’autres programmes malveillants connus), ils ne peuvent pas confirmer, avec une certitude absolue, que c’est le cas.
L’attaque permet aux acteurs de la menace de maintenir un accès administrateur persistant à l’hyperviseur, d’envoyer des commandes au terminal (s’ouvre dans un nouvel onglet) qui seront acheminés vers la machine virtuelle invitée pour exécution, voler des fichiers entre l’hyperviseur ESXi et les machines invitées exécutées en dessous, apporter des modifications aux services de journalisation sur l’hyperviseur et exécuter des commandes arbitraires d’une machine virtuelle invitée à une autre machine virtuelle invitée, tant que ils sont sur le même hyperviseur.
Par: Filaire (s’ouvre dans un nouvel onglet)