Les pirates mystérieux sont des cibles d' »hyperjacking » pour un espionnage insidieux

Marco Rosario Venturini Autieri/Getty Images

Pendant des décennies, les logiciels de virtualisation ont offert un moyen de multiplier considérablement l’efficacité des ordinateurs, en hébergeant des collections entières d’ordinateurs en tant que « machines virtuelles » sur une seule machine physique. Et depuis presque aussi longtemps, les chercheurs en sécurité ont mis en garde contre le côté obscur potentiel de cette technologie : les attaques théoriques d' »hyperjacking » et de « Blue Pill », où les pirates détournent la virtualisation pour espionner et manipuler des machines virtuelles, sans aucun moyen pour un ordinateur ciblé. pour détecter l’intrusion. Cet espionnage insidieux est finalement passé des documents de recherche à la réalité avec des avertissements qu’une mystérieuse équipe de pirates a mené une série d’attaques « d’hyperjacking » dans la nature.

Aujourd’hui, la société de sécurité Mandiant, propriété de Google, et la société de virtualisation VMware ont publié conjointement des avertissements selon lesquels un groupe de pirates sophistiqués avait installé des portes dérobées dans le logiciel de virtualisation de VMware sur les réseaux de plusieurs cibles dans le cadre d’une apparente campagne d’espionnage. En plantant leur propre code dans les soi-disant hyperviseurs des victimes – un logiciel VMware qui s’exécute sur un ordinateur physique pour gérer toutes les machines virtuelles qu’il héberge – les pirates ont pu surveiller et exécuter des commandes de manière invisible sur les ordinateurs supervisés par ces hyperviseurs. Et parce que le code malveillant cible l’hyperviseur sur la machine physique plutôt que les machines virtuelles de la victime, l’astuce des pirates multiplie leur accès et échappe à presque toutes les mesures de sécurité traditionnelles conçues pour surveiller ces machines cibles à la recherche de signes d’acte criminel.

« L’idée que vous pouvez compromettre une machine et à partir de là avoir la capacité de contrôler les machines virtuelles en masse est énorme », déclare Alex Marvi, consultant chez Mandiant. Et même en surveillant de près les processus d’une machine virtuelle cible, dit-il, un observateur ne verrait dans de nombreux cas que des « effets secondaires » de l’intrusion, étant donné que le logiciel malveillant réalisant cet espionnage avait infecté une partie du système entièrement en dehors de son fonctionnement. système.

Mandiant a découvert les pirates plus tôt cette année et a porté leurs techniques à l’attention de VMware. Les chercheurs disent avoir vu le groupe procéder à leur piratage de virtualisation – une technique historiquement appelée hyperjacking en référence au « piratage d’hyperviseur » – sur moins de 10 réseaux de victimes en Amérique du Nord et en Asie. Mandiant note que les pirates, qui n’ont été identifiés comme aucun groupe connu, semblent être liés à la Chine. Mais la société n’attribue à cette affirmation qu’une cote de « confiance faible », expliquant que l’évaluation est basée sur une analyse des victimes du groupe et sur certaines similitudes entre leur code et celui d’autres logiciels malveillants connus.

Source-147