Suçlular, VMware’in ESXi hipervizörlerini ele geçirmeyi ve sayısız sanal makineye erişim elde etmeyi başardılar; bu da, bu işletmelerin gözetlendiklerini bilmeden donanımı kullanan çok sayıda işletmeyi gözetleyebilecekleri anlamına geliyor.
Uyarı, sanallaştırma firması VMware ile birlikte siber tehdit istihbarat firması Mandiant tarafından verildi.
İki şirkete göre, Çin ile olası bağları olan bilinmeyen tehdit aktörleri, vSphere Kurulum Paketlerini kullanarak çıplak metal hipervizörlere iki kötü amaçlı program yükledi. Onlara VirtualPita ve VirtualPie (“Pita” ayrıca bazı Slav dillerinde “turta” anlamına gelir) adını verdiler. Ayrıca, VirtualGate adlı benzersiz bir kötü amaçlı yazılım/damlalık keşfettiler.
Güvenlik açığı yok
Unutulmaması gereken önemli nokta, saldırganların bir sıfır gün bulamadıkları veya farklı, bilinen bir güvenlik açığından yararlanmadıklarıdır. Bunun yerine, araçlarını kurmak için ESXi hipervizörlerine yönetici düzeyinde erişim kullandılar.
Ile konuşmak KABLOLUVMware, “Hiçbir VMware güvenlik açığı olmasa da, güvenli kimlik bilgisi yönetimi ve ağ güvenliğini içeren güçlü operasyonel güvenlik uygulamalarına duyulan ihtiyacı vurguluyoruz” dedi.
VMware ayrıca, VMware kurulum yöneticileri için bu tür saldırılara karşı korunmalarına yardımcı olacak bir “sertleştirme” kılavuzu hazırladığını söyledi.
Tehdit aktörü UNC3886 olarak izleniyor. Araştırmacılar, Çin merkezli bir grup olduğuna dair bazı işaretler gösterse de (kurbanlar diğer bazı Çinli gruplarla aynı; kötü amaçlı yazılımda bazı benzerlikler var) diyorlar. (yeni sekmede açılır) kodu ve bilinen diğer kötü amaçlı programlar), durumun böyle olduğunu kesin olarak teyit edemezler.
Saldırı, tehdit aktörlerinin hiper yöneticiye kalıcı yönetici erişimi sağlamasına, uç noktaya komutlar göndermesine olanak tanır. (yeni sekmede açılır) yürütülmek üzere konuk VM’ye yönlendirilecek, ESXi hipervizörü ile altında çalışan konuk makineler arasındaki dosyaları çalacak, hipervizördeki günlük hizmetlerinde değişiklikler yapacak ve bir konuk sanal makineden başka bir konuk sanal makineye rastgele komutlar yürütecek. aynı hiper yönetici üzerindeler.
Aracılığıyla: kablolu (yeni sekmede açılır)