Hypervizory VMware ESXi, takto jsou napadány

Upozornění! Nový malware útočí na hypervizory VMware ESXi. Zjistili to výzkumníci Mandiant, kteří podrobně popisují, že kyberzločinci provádějí následující kroky:

• Odešlete hypervizoru příkazy, které jsou přesměrovány na hostovaný virtuální počítač ke spuštění
• Přenos souborů mezi hypervizorem ESXi a běžícími hostujícími stroji
• Správa registrační služby v hypervizoru
• Provádějte libovolné příkazy a přesměrovávejte je z jednoho hostujícího počítače na jiný běžící na stejném hypervizoru

Cílený a vyhýbavý charakter tohoto útoku vede odborníky k domněnce, že jej provedla skupina UNC3886 napojená na Čínu pro účely kybernetické špionáže. V útoku vyšetřovaném společností Mandiant útočníci použili škodlivé balíčky vSphere Installation Packages (VIB) k instalaci dvou zadních vrátek na sledované hypervizory ESXi, jako jsou VIRTUALPITA a VIRTUALPIE.

Hypervizory VMware ESXi

Podle odborníků potřebuje kyberzločinec oprávnění na úrovni správce pro hypervizor ESXi, aby mohl nasadit malware. Stojí za zmínku, že v současné době nejsou známy žádné exploity používané k získání počátečního přístupu nebo nasazení škodlivých souborů VIB.

VIB jsou sady souborů navržených pro správu virtuálních systémů. Lze je použít k vytvoření úloh spouštění, vlastních pravidel brány firewall nebo nasazení vlastních binárních souborů po restartování počítače ESXi. VIB se skládají z následujících komponent:

• Soubor deskriptoru XML (popisuje obsah VIB)
• Užitná zátěž VIB (soubor .vgz)
• Podpisový soubor – Digitální podpis používaný k ověření úrovně přijetí souborů VIB hostitelem
• Soubor XML je konfigurace, která obsahuje odkazy na: užitečné zatížení k instalaci
• Metadata VIB, jako je název a datum instalace
• Soubor podpisu VIB

Nový malware útočí na hypervizory VMware ESXi

Výzkumníci společnosti Mandiant zjistili, že útočníci mohou změnit parametr Acceptance Level v deskriptoru XML z „komunita“ na „partner“, aby vyvolali dojem, že jej vytvořila důvěryhodná osoba.

ESXi však stále nepovolilo instalaci vib souboru, takže hackeři použili příznak „–force“ k deaktivaci kontroly odevzdání a přepsání historie. To umožnilo instalaci škodlivých souborů VIB spravovaných komunitou.

VIRTUALPITA a VIRTUALPIE

Kyberzločinci použili tuto techniku ​​k instalaci zadních vrátek VIRTUALPITA a VIRTUALPIE na kompromitovaný počítač ESXi:

• VIRTUALPITE je to 64bitová pasivní zadní vrátka, která vytváří posluchače na pevně zakódovaném čísle portu na serveru VMware ESXi. Malware podporuje provádění libovolných příkazů
• VIRTUÁLNÍ KOLÁČ je zadní vrátka Pythonu, která podporuje provádění libovolných příkazů, schopnost přenášet soubory a schopnost vytvářet reverzní shell.

Výzkumníci také našli unikátní malware nazvaný VirtualGate, který obsahuje dropper a užitečné zatížení. Škodlivý kód byl hostován na infikovaných hypervizorech. Výzkumníci společnosti Mandiant nyní doufají, že další kyberzločinci využijí informace ze studie k vytvoření podobných příležitostí.