I criminali sono riusciti a compromettere gli hypervisor ESXi di VMware e ottenere l'accesso a innumerevoli macchine virtuali, il che significa che possono spiare molte aziende che utilizzano l'hardware senza che queste aziende sappiano di essere spiate.
L'avviso è stato emesso dalla società di intelligence sulle minacce informatiche Mandiant, insieme alla società di virtualizzazione VMware.
Secondo le due società, hacker sconosciuti con possibili legami con la Cina hanno installato due programmi malware su hypervisor bare metal, utilizzando i pacchetti di installazione di vSphere. Li chiamavano VirtualPita e VirtualPie ("Pita" significa anche "torta" in alcune lingue slave). Inoltre, hanno scoperto un malware/dropper unico chiamato VirtualGate.
nessuna vulnerabilità
È importante notare che gli aggressori non hanno trovato una vulnerabilità zero-day né sfruttato alcuna altra vulnerabilità nota. Invece, hanno utilizzato l'accesso a livello di amministratore agli hypervisor ESXi per installare i propri strumenti.
Parlando con WIRED, VMware ha affermato che "sebbene non siano coinvolte vulnerabilità VMware, sottolineiamo la necessità di solide pratiche di sicurezza operativa, tra cui la gestione sicura delle credenziali e la sicurezza della rete".
VMware ha anche affermato di aver preparato una guida di "rafforzamento" per gli amministratori di configurazione VMware che dovrebbe aiutarli a proteggerli da questo tipo di attacco.
L'autore della minaccia viene registrato come UNC3886. I ricercatori affermano che, sebbene mostri segni di appartenenza a un gruppo con sede in Cina (le vittime sono le stesse di alcuni altri gruppi cinesi; ci sono alcune somiglianze nel codice dannoso (si apre in una nuova scheda) e altri malware noti) . , non possono confermare con assoluta certezza che sia così.
L'attacco consente agli attori delle minacce di mantenere l'accesso amministrativo permanente all'hypervisor, inviare comandi all'endpoint (si apre in una nuova scheda) che verranno indirizzati alla VM guest per l'esecuzione, rubare file tra l'hypervisor ESXi e le macchine in esecuzione sotto di esso, apportare modifiche ai servizi di registro sull'hypervisor ed eseguire comandi arbitrari da una VM guest a un'altra VM guest, purché si trovino sullo stesso hypervisor.
Via: Cavo (si apre in una nuova scheda)