I criminali informatici escogitano costantemente nuovi modi per rubare dati preziosi e utilizzarli a proprio vantaggio. I dati sono estremamente preziosi nei mercati oscuri e un singolo attore malintenzionato potrebbe guadagnare milioni vendendo informazioni acquisite illegalmente. L'hyperjacking è un altro metodo illecito che può essere utilizzato per spiare le vittime, controllare i dispositivi e rubare informazioni preziose. Quindi, cos'è l'hyperjacking e come puoi proteggerti da esso?
Cos'è l'Hyperjacking?
L'hyperjacking comporta la compromissione e il controllo non autorizzato di una macchina virtuale (VM). Quindi, prima di discutere in dettaglio l'hyperjacking, dobbiamo prima capire cos'è una macchina virtuale.
Cos'è una macchina virtuale?
Una macchina virtuale è proprio questo: una macchina non fisica che utilizza il software di virtualizzazione anziché l'hardware per funzionare. Sebbene le macchine virtuali debbano esistere su un componente hardware, funzionano utilizzando componenti virtuali (come una CPU virtuale).
Gli hypervisor costituiscono la spina dorsale delle macchine virtuali. Si tratta di programmi software responsabili della creazione, dell'esecuzione e della gestione delle macchine virtuali. Un singolo hypervisor può ospitarne più macchine virtuali o più sistemi operativi guest contemporaneamente, il che gli conferisce anche il nome alternativo di gestore di macchine virtuali (VMM).
Esistono due tipi di hypervisor. Il primo è noto come hypervisor "bare metal" o "nativo", mentre il secondo è un hypervisor "host". Quello che dovresti notare è che sono gli hypervisor delle macchine virtuali i bersagli degli attacchi di hyperjacking (da qui il termine "hyper-jacking").
Le origini dell'Hyperjacking
A metà degli anni 2000, i ricercatori hanno scoperto che l'hyperjacking era una possibilità. A quel tempo, gli attacchi di hyperjacking erano del tutto teorici, ma la minaccia che ne venisse eseguito uno era sempre presente. Man mano che la tecnologia avanza e i criminali informatici diventano più inventivi, il rischio di attacchi di hyperjacking aumenta di anno in anno.
Infatti, nel settembre 2022, sono iniziati ad arrivare allarmi di veri e propri attacchi di hyperjacking. Entrambi Mandiant e VMWare hanno pubblicato avvisi affermando di aver trovato attori malintenzionati che utilizzano malware per condurre attacchi di hyperjacking in natura tramite una versione dannosa del software VMWare. In questa impresa, gli attori delle minacce hanno inserito il proprio codice dannoso all'interno degli hypervisor delle vittime aggirando le misure di sicurezza dei dispositivi bersaglio (simile a un rootkit).
Attraverso questo exploit, gli hacker in questione sono stati in grado di eseguire comandi sui dispositivi host delle macchine virtuali senza essere rilevati.
Come funziona un attacco di hyperjacking?
Gli hypervisor sono l'obiettivo principale degli attacchi di hyperjacking. In un attacco tipico, l'hypervisor originale verrà sostituito tramite l'installazione di un hypervisor dannoso e canaglia di cui l'autore della minaccia ha il controllo. Installando un hypervisor non autorizzato sotto l'originale, l'attaccante può quindi ottenere il controllo dell'hypervisor legittimo e sfruttare la VM.
Avendo il controllo sull'hypervisor di una macchina virtuale, l'aggressore può, a sua volta, ottenere il controllo dell'intero server VM. Ciò significa che possono manipolare qualsiasi cosa nella macchina virtuale. Nel suddetto attacco di hyperjacking annunciato nel settembre 2022, si è scoperto che gli hacker utilizzavano l'hyperjacking per spiare le vittime.
Rispetto ad altre tattiche di criminalità informatica estremamente popolari come phishing e ransomware, l'hyperjacking non è molto comune al momento. Ma con il primo utilizzo confermato di questo metodo, è importante che tu sappia come proteggere i tuoi dispositivi e i tuoi dati.
Come evitare l'hyperjacking
Sfortunatamente, è stato riscontrato che l'hyperjacking elude alcune misure di sicurezza presenti sul tuo dispositivo. Ma questo non significa che non dovresti ancora impiegare alti livelli di protezione per ridurre la possibilità che un utente malintenzionato prenda di mira il tuo hypervisor.
Ovviamente, dovresti sempre assicurarti che la tua macchina virtuale sia ben equipaggiata con vari livelli di sicurezza. Ad esempio, puoi isolare ciascuna delle tue macchine virtuali utilizzando un firewalle assicurati che il tuo dispositivo host disponga di un'adeguata protezione antivirus.
Dovresti anche assicurarti che il tuo hypervisor sia aggiornato regolarmente in modo che gli attori malintenzionati non possano sfruttare bug e vulnerabilità all'interno del software. Questo è uno dei modi più comuni attraverso i quali i criminali informatici eseguono gli attacchi e talvolta possono causare molti danni prima che il fornitore del software venga a conoscenza del difetto di sicurezza.
Dovresti limitare anche i dispositivi a cui ha accesso la tua macchina virtuale. Quando un utente malintenzionato ottiene il controllo su una macchina virtuale, può utilizzarla per accedere ad altro hardware, come il dispositivo host. Cerca di non collegare la tua VM a dispositivi non necessari per evitare che un utente malintenzionato la sfrutti ulteriormente se compromessa.
L'hyperjacking potrebbe diventare un problema significativo nel prossimo futuro
Sebbene l'hyperjacking sembri relativamente nuovo come tattica del crimine informatico praticata, ci sono buone probabilità che lo sia la prevalenza inizierà a crescere tra i gruppi di hacker che cercano di sfruttare le macchine, spiare le vittime e rubare dati. Quindi, se disponi di una o più macchine virtuali, assicurati di proteggerle il più possibile per evitare di cadere vittima di un attacco di hyperjacking.
