Ciberespionagem usa contaminação em massa de máquinas virtuais
Por Felipe Demartini | Editado por Claudio Yuge | 03 de Outubro de 2022 às 16h20
A raiz dos sistemas de máquinas virtuais é o alvo de uma campanha de espionagem que vem sendo realizada por um grupo cibercriminoso ainda desconhecido. Em vez de focarem em máquinas virtuais individuais, o alvo dos bandidos são os hypervisors, softwares que rodam nos computadores que gerenciam tais sistemas; assim, a intrusão permite a visualização de dados e operações em todas as instâncias conectadas, e não mais em uma de cada vez.
- 90% dos erros de segurança são cometidos por quem acredita dominar o assunto
- Aumentam os ataques de ransomware a sistemas industriais desatualizados
O novo método foi assunto de um alerta da empresa de segurança Mandiant, em parceria com a VMWare, um dos principais nomes em virtualização do mercado atual. Segundo o relatório, as redes de quase 10 organizações foram atingidas pelo ataque, permitindo não apenas acesso aos dados e às próprias máquinas virtuais, mas também a execução de comandos na rede.
De acordo com o alerta, a contaminação é sofisticada, com poucos indícios de comprometimento aparecendo nos processos das máquinas virtuais comprometidas. Da mesma forma, também foi impossível entender a origem dos golpes, que parecem ligados a um grupo cibercriminoso chinês que atingiu empresas da América do Norte e Ásia; ainda assim, essa é uma conclusão vaga, baseada em similaridades no código-fonte da exploração e o conjunto de vítimas, cujos nomes não foram divulgados.
A Mandiant aponta que este pode ser o primeiro caso real de uma exploração que, até agora, era apenas teorizada por especialistas em segurança. A técnica chamada de Hyperjacking ou Blue Pill foi realizada no mundo real pelo comprometimento de instaladores do software da VMWare, que substituíram versões legítimas e abriram as portas para os criminosos a partir de duas backdoors, chamadas de VirtualPita e VirtualPie.
Com os bandidos usaram as máquinas virtuais em ciberespionagem
A partir das aberturas, os bandidos foram capazes de executar códigos maliciosos e permanecer observando as atividades das máquinas virtuais. Nos casos analisados, não houve tentativas de comprometimento direto ou aproveitamento de vulnerabilidades, apenas a implementação de ferramentas de espionagem para coleta de dados e operações, assim como estabelecimento de permanência após o comprometimento inicial.
A ideia é que o hyperjacking esteja sendo usado pelo seu alcance em potencial, principalmente em grandes corporações em que as máquinas virtuais rodam em servidores e são utilizadas por múltiplos funcionários e processos. Ao obter acesso à cabeça de toda essa estrutura, os criminosos podem realizar diferentes tipos de ataques e, também, obter dados sigilosos que valem ouro em operações de espionagem como a detectada.
Enquanto os detalhes mais profundos da exploração ainda faltam, a expectativa é que o hyperjacking permaneça como uma tendência, agora que a teoria foi comprovada. A recomendação é o bom gerenciamento de credenciais e acesso ao sistema, assim como a atenção a golpes de engenharia social, uma vez que, apesar de as informações serem escassas, se sabe que a intrusão aconteceu a partir da manipulação de softwares de gerenciamento.