Программное обеспечение для виртуализации VMware угоняют, чтобы шпионить за бизнесом

Программное обеспечение для виртуализации VMware угоняют, чтобы шпионить за бизнесом

30 сентября 2022 г.

Преступникам удалось взломать гипервизоры VMware ESXi и получить доступ к бесчисленному количеству виртуальных машин, то есть они могут шпионить за многочисленными предприятиями, использующими оборудование, при этом эти предприятия даже не подозревают, что за ними следят.

Предупреждение было сделано компанией Mandiant, специализирующейся на анализе киберугроз, совместно с фирмой по виртуализации VMware.

По данным двух компаний, неизвестные злоумышленники с возможными связями с Китаем установили две вредоносные программы на «голое железо» гипервизора, используя пакеты установки vSphere. Они назвали их VirtualPita и VirtualPie («лаваш» также означает «пирог» на некоторых славянских языках). Кроме того, они обнаружили уникальное вредоносное ПО/дроппер, получившее название VirtualGate.

Уязвимости нет

Важно отметить, что злоумышленники не обнаружили нулевой день и не использовали другую известную уязвимость. Вместо этого они использовали доступ на уровне администратора к гипервизорам ESXi для установки своих инструментов.

В интервью WIRED представители VMware заявили, что «несмотря на отсутствие уязвимости VMware, мы подчеркиваем необходимость надежных методов операционной безопасности, включая безопасное управление учетными данными и сетевую безопасность».

VMware также заявила, что подготовила руководство по усилению безопасности для администраторов установки VMware, которое должно помочь им защититься от этого типа атак.

Подробнее

> Не пора ли попробовать гипервизор KVM?

> Citrix подтверждает свою виртуальную машину со временем программное обеспечение будет работать под управлением Windows 11

Мы собрали лучшие службы виртуальных рабочих столов. сильный>

Субъект угрозы отслеживается как UNC3886. Исследователи говорят, что, хотя у него есть некоторые признаки принадлежности к китайской группе (жертвы такие же, как и у некоторых других китайских групп; есть определенные сходства в вредоносное ПО и другие известные вредоносные программы), они не могут с абсолютной уверенностью подтвердить, что это так.

Атака позволяет злоумышленникам поддерживать постоянный административный доступ к гипервизору, отправлять команды в конечная точка, которая будет перенаправляться на гостевую виртуальную машину для выполнения, похищать файлы между гипервизором ESXi и запущенными под ним гостевыми машинами, вносить изменения в службы ведения журналов на гипервизоре и выполнять произвольные команды. с одной гостевой ВМ на другую, если они находятся на одном гипервизоре.

.

Через: Wired

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE