La società di sicurezza Mandiant ha da poco pubblicato un avviso piuttosto dettagliato secondo cui un sofisticato gruppo di hacker ha installato delle backdoor nel software di virtualizzazione VMWare su reti di più obiettivi. Si tratta di un nuovo tipo di malware che va ad effettuare attacchi hyperjacking contro gli hypervisor VMware ESXi.
VMWare: backdoor installate su reti di più obiettivi
Andando più in dettaglio, i cybercrminali hanno installato le backdoor VirtualPit, a 64 bit e che utilizza spesso nomi e porte dei servizi VMware per evitare la rilevazione, e VirtualPie, scritta in Python che può trasferire file e installare reverse shell, adoperando versioni infette dei vSphere Installation Bundles che permettono agli amministratori di gestire le macchine virtuali mediante varie operazioni. Inoltre, nelle virtual machine Windows gestite da VMware ESXi è stato individuato il malware VirtualGate.
È bene tenere presente che un attacco hyperjacking potrebbe avere dei risvolti decisamente disastrosi per le aziende che si servono di migliaia di macchine virtuali, visto e considerato che l’accesso a VMware ESXi consente di prendere il controllo in maniera totalizzante dei sistemi.
Considerando che il codice dannoso prende di mira l’hypervisor sulla macchina fisica piuttosto che le macchine virtuali della vittima, il trucco degli hacker moltiplica il loro accesso ed elude quasi tutte le misure di sicurezza tradizionali progettate per monitorare le macchine bersaglio
Per evitare di andare incontro a problemi di sicurezza è indispensabile installare sul computer, macchine virtuali comprese, un buon software antivirus, come nel caso di Norton 360 Premium in sconto del 57% sull'abbonamento annuale e del 47% su quello di due anni.