Usi una macchina virtuale non sufficientemente protetta? Potresti essere bersaglio di un attacco ritenuto teorico per anni, ma ora divenuto realtà.

I criminali informatici sono costantemente alla ricerca di nuove strategie e metodi per appropriarsi di dati sensibili da sfruttare a proprio vantaggio.
Oggigiorno, i dati sono un bene prezioso e un singolo malintenzionato che ne entra in possesso potrebbe rivenderli all’interno del dark web e ricavarci milioni.

hyperjacking

In parallelo, chiunque fino a poco tempo fa desiderava lavorare in un ambiente digitale più protetto e sicuro dagli attacchi informatici poteva tranquillamente ricorrere all’utilizzo delle macchine virtuali. Questo è ciò che si credeva fino agli albori del 2022, quando è stata portata alla luce una vulnerabilità informatica che ha letteralmente spalancato le porte ad un nuovo metodo illecito per il controllo remoto dei dispositivi.

Tale metodo prende il nome di Hyperjacking. Ma andiamo con ordine e affrontiamo per gradi l’argomento.

  1. Cos’è una macchina virtuale?
  2. Origini dell’Hyperjacking
  3. Come funziona un attacco Hyperjacking?
  4. Come si può evitare un attacco Hyperjacking?
  5. Un problema serio del futuro prossimo

Cos’è una macchina virtuale?

Prima di discutere dell’Hyperjacking, è necessario introdurre il concetto di macchina virtuale, in quanto l’attacco si basa proprio sfruttando una delle sue vulnerabilità.
Una macchina virtuale è un’ambiente che replica fedelmente, via software, l’hardware di un sistema completamente diverso.
Questa opera mediante la virtualizzazione dei singoli componenti hardware, tra cui una CPU virtuale.

La macchina virtuale viene realizzata mediante software chiamati hypervisor, che si occupano anche della loro gestione e del loro avvio.
Uno solo di questi è in grado di ospitare molteplici macchine virtuali o addirittura, più sistemi operativi virtuali al tempo stesso.
Tale peculiarità da loro il nome di Virtual Machine Manager (VMM).

Fatta questa doverosa introduzione è bene far notare che gli obiettivi di un attacco hyperjacking sono proprio gli hypervisors. Da qui il termine hyper-jacking.

Origini dell’Hyperjacking

Nei primi anni 2000 i ricercatori di tutto il mondo scoprirono che un attacco all’hypervisor della macchina virtuale era possibile solo in linea teorica. Nonostante ciò, la minaccia che dati sensibili potessero essere trafugati da una macchina virtuale rimase concreta. Man mano che la tecnologia è progredita e con lei anche l’inventiva dei criminali, l’allerta di un attacco hyperjacking è aumentata di anno in anno.

La minaccia si è infine concretizzata a settembre 2022, quando Mandiant e VMWare hanno pubblicato un report in cui si affermava l’esistenza di un malware che attaccava direttamente l’ambiente virtuale di alcune versioni del software di virtualizzazione.

Nella simulazione si è introdotto un software malevolo negli hypervisors delle vittime, bypassando di fatto le misure di sicurezza imposte dai loro dispositivi, in maniera non molto diversa da come farebbe un rootkit. La prova ha dimostrato come questo exploit permettesse il controllo remoto della macchina virtuale da parte di un malintenzionato senza essere scoperto.

In particolare, VMWare ha dimostrato che l’hyperjacking è efficace contro il proprio ESXi hypervisor, il suo Virtual Center Appliance e le macchine virtuali di Windows.

In seguito ad un attacco il malintenzionato può:

  • Mantenere un accesso amministrativo permanente dell’hypervisor
  • Inviare comandi diretti all’hypervisor, che vengono poi eseguiti sulle macchine virtuali ospiti
  • Trasferire file tra ESXi hypervisor e le macchine virtuali ospiti da lui eseguite
  • Manomettere i servizi di log dell’hypervisor
  • Eseguire comandi arbitrari tra una macchina virtuale e l’altra in esecuzione sullo stesso hypervisor.

Come funziona un attacco Hyperjacking?

Dai paragrafi precedenti abbiamo compreso che gli hypervisor sono i principali obiettivi, poiché responsabili della gestione completa della macchina virtuale e dell’ambiente riprodotto al suo interno.

Un attacco hyperjacking si basa principalmente sulla loro sostituzione.
In pratica, il criminale crea una propria versione dell’hypervisor, contenente al suo interno codice malevolo, che si sostituisce a quello presente nella macchina virtuale della vittima. Una volta installatosi, questo si collega alla rete e passa il controllo al malintenzionato, che può così accedere in tutta tranquillità all’ambiente virtualizzato.

Avendo bypassato il vero hypervisor, il criminale prende il controllo completo della macchina virtuale, manipolando a proprio vantaggio ogni singolo elemento presente al suo interno e appropriandosi delle informazioni sensibili presenti al suo interno, senza il rischio di essere scoperto. In base al report di settembre 2022 è emerso che l’hyperjacking è stato usato principalmente dagli hacker per spiare le proprie vittime, cercando le migliori falle nella loro sicurezza e il momento più adatto a colpire.
Se paragonato ad altre tattiche popolari nell’ambiente dei cybercriminali, come il phishing e i ransomware, l’hyperjacking non è attualmente molto comune. Tuttavia, la dimostrazione di una sua concreta messa in atto, rappresenta un campanello di allarme per la messa in sicurezza dei propri dispositivi e dei dati sensibili.

Come si può evitare un attacco Hyperjacking?

Sebbene l’hyperjacking sia in grado di sfuggire a determinate misure di sicurezza presenti sui dispositivi, è possibile proteggersi aumentando la propria sicurezza.

Il primo passo è accertarsi che la propria la macchina virtuale sia strutturata con più livelli di sicurezza.
In tal modo è possibile isolare ogni singolo ambiente con un proprio firewall e che ciascun dispositivo ospite sia dotato di un antivirus efficace.
Bisogna inoltre assicurarsi che il proprio hypervisor sia aggiornato costantemente con patch di sicurezza rilasciate mensilmente, in modo che i malintenzionati non possano sfruttare bug e vulnerabilità all’interno del suo software.

Proprio questo è il metodo più comune con cui gli attacchi informatici avvengono, in quanto i criminali possono causare ingenti danni prima che la casa madre rilasci un aggiornamento atto a correggere la falla nel software.

Inoltre, va sempre limitato il numero di dispositivo che possono accedere alla macchina virtuale. Questo perché, nel caso in cui il controllo di una macchina virtuale venisse preso da un malintenzionato, potrebbero sfruttarlo per accedere anche ai dispositivi ad essa connessi, con serie ripercussioni su tutti gli utenti che ne fanno uso.

Come parte integrante della propria sicurezza è necessario adottare un modello di privilegi minimo, con l’utilizzo di password efficaci cambiate obbligatoriamente su base mensile e l’uso di un’autenticazione multifattoriale. A ciò si aggiungono soluzioni di gestione di identità e degli accessi, in modo da prevenire l’intromissione nella propria rete e nelle proprie macchine virtuali di soggetti non autorizzati, o sconosciuti.

Un problema serio del futuro prossimo

Nonostante si tratti di una tecnica di infiltrazione relativamente nuova e attualmente poco usata, l’hyperjacking ha più di una chance di divenire un problema molto serio nei prossimi anni.

Questo perché, come tutte le tattiche emerse negli anni, anche questa sarà soggetta a ulteriori perfezionamenti e affinamenti.
La sua proliferazione è già in crescita tra le comunità di cybercriminali, che già la sfruttano per spiare vittime, sottrarre loro dati e accedere indisturbati alle loro macchine. La soluzione resta sempre quella di investire nella propria sicurezza informatica, piuttosto che sottovalutarla, proprio per evitare di essere vittime di tattiche malevoli.