Kyberrikolliset kehittävät jatkuvasti uusia tapoja varastaa arvokasta dataa ja käyttää sitä hyödykseen. Data on erittäin arvokasta pimeillä markkinoilla, ja yksittäinen pahantahtoinen toimija voi ansaita miljoonia laittomasti hankitun tiedon myynnistä. Hyperkaappaus on toinen laiton menetelmä, jota voidaan käyttää uhrien vakoilemiseen, laitteiden ohjaamiseen ja arvokkaan tiedon varastamiseen. Joten mitä on hyperjacking ja kuinka voit pysyä turvassa siltä?
Mitä on Hyperjacking?
Hyperkaappaus sisältää virtuaalikoneen (VM) vaarantamisen ja luvattoman hallinnan. Joten ennen kuin keskustelemme hyperjakkeista yksityiskohtaisesti, meidän on ensin ymmärrettävä, mikä virtuaalikone on.
Mikä on virtuaalikone?
Virtuaalikone on juuri sitä: ei-fyysinen kone, joka käyttää virtualisointiohjelmistoa laitteiston sijaan toimiakseen. Vaikka virtuaalikoneiden on oltava laitteistossa, ne toimivat virtuaalisten komponenttien (kuten virtuaalisen CPU: n) avulla.
Hypervisorit muodostavat virtuaalikoneiden selkärangan
. Nämä ovat ohjelmistoja, jotka vastaavat virtuaalikoneiden luomisesta, suorittamisesta ja hallinnasta. Yksi hypervisor voi isännöidä useita virtuaalikoneita tai useita vieraskäyttöjärjestelmiä kerralla, mikä antaa sille myös vaihtoehtoisen nimen virtuaalikoneen hallinta (VMM).Hypervisoreita on kahdenlaisia. Ensimmäinen tunnetaan "paljasmetallina" tai "natiivina" hypervisorina, ja toinen on "isäntä" hypervisor. Sinun tulee huomioida, että virtuaalikoneiden hypervisorit ovat hyperkaappaushyökkäysten kohteena (tästä syystä termi "hyperkaappaus").
Hyperkaappauksen alkuperä
2000-luvun puolivälissä tutkijat havaitsivat, että hyperkaappaus oli mahdollisuus. Tuohon aikaan hyperkaappaushyökkäykset olivat täysin teoreettisia, mutta uhka sellaisen toteuttamisesta oli aina olemassa. Teknologian kehittyessä ja kyberrikollisista tulee kekseliäisempiä, hyperkaappaushyökkäysten riski kasvaa vuosi vuodelta.
Itse asiassa syyskuussa 2022 alkoi tulla varoituksia todellisista hyperkaappaushyökkäyksistä. Molemmat Mandiant ja VMWare julkaisivat varoitukset totesivat löytäneensä haitallisia toimijoita, jotka käyttivät haittaohjelmia hyperkaappaushyökkäyksiin luonnossa VMWare-ohjelmiston haitallisen version kautta. Tässä hankkeessa uhkatoimijat lisäsivät oman haitallisen koodinsa uhrien hypervisoriin ohittaen samalla kohdelaitteiden turvatoimenpiteet (samalla tavalla kuin rootkitissä).
Tämän hyväksikäytön avulla kyseiset hakkerit pystyivät suorittamaan komentoja virtuaalikoneiden isäntälaitteilla ilman havaitsemista.
Kuinka hyperkaappaushyökkäys toimii?
Hypervisorit ovat hyperkaappaushyökkäysten pääkohde. Tyypillisessä hyökkäyksessä alkuperäinen hypervisor korvataan asentamalla huijari, haitallinen hypervisor, jota uhkatoimija hallitsee. Asentamalla huijarin hypervisorin alkuperäisen alle, hyökkääjä voi siis saada laillisen hypervisorin hallintaansa ja hyödyntää virtuaalikonetta.
Hallitsemalla virtuaalikoneen hypervisoria hyökkääjä voi puolestaan saada hallintaansa koko VM-palvelimen. Tämä tarkoittaa, että he voivat manipuloida mitä tahansa virtuaalikoneessa. Edellä mainitussa syyskuussa 2022 julkistetussa hyperkaappaushyökkäyksessä havaittiin, että hakkerit käyttivät hyperkaappausta vakoilemaan uhreja.
Verrattuna muihin erittäin suosittuihin tietoverkkorikollisuuden taktiikoihin, kuten tietojenkalastelu- ja kiristysohjelmiin, hyperkaappaus ei ole tällä hetkellä kovin yleistä. Mutta tämän menetelmän ensimmäisen vahvistetun käytön yhteydessä on tärkeää, että osaat pitää laitteesi ja tietosi turvassa.
Kuinka välttää hyperkaappausta
Valitettavasti hyperkaappauksen on havaittu kiertävän tietyt laitteessasi olevat turvatoimenpiteet. Mutta tämä ei tarkoita, että sinun ei silti pitäisi käyttää korkeatasoista suojausta pienentääksesi hyökkääjän mahdollisuutta hyökätä hypervisoriisi.
Tietenkin sinun tulee aina varmistaa, että virtuaalikoneesi on hyvin varustettu erilaisilla suojaustasoilla. Voit esimerkiksi eristää jokaisen virtuaalikoneesi palomuuria käyttämälläja varmista, että isäntälaitteessasi on riittävä virustorjunta.
Sinun tulee myös varmistaa, että hypervisorisi päivitetään säännöllisesti, jotta haitalliset toimijat eivät voi hyödyntää ohjelmiston vikoja ja haavoittuvuuksia. Tämä on yksi yleisimmistä tavoista, joilla kyberrikolliset tekevät hyökkäyksiä, ja he voivat joskus tehdä paljon vahinkoa ennen kuin ohjelmiston toimittaja huomaa tietoturvavirheestä.
Sinun tulisi myös rajoittaa laitteita, joihin virtuaalikoneellasi on pääsy. Kun hyökkääjä saa virtuaalikoneen hallintaansa, hän voi käyttää sitä muihin laitteistoihin, kuten isäntälaitteeseen, pääsyyn. Yritä olla linkittämättä virtuaalikonettasi tarpeettomiin laitteisiin, jotta hyökkääjä ei käytä sitä edelleen, jos se vaarantuu.
Hyperkaappauksesta voi tulla merkittävä ongelma lähitulevaisuudessa
Vaikka hyperkaappaus näyttää suhteellisen uudelta harjoitettuna verkkorikollisuuden taktiikkana, on olemassa hyvä mahdollisuus, että se yleisyys alkaa kasvaa hakkeriryhmissä, jotka haluavat hyödyntää koneita, vakoilla uhreja ja varastaa tiedot. Joten jos sinulla on yksi tai useampi virtuaalikoneita, varmista, että suojaat niitä mahdollisimman paljon, jotta et joudu hyperkaappaushyökkäyksen uhriksi.
