Marco Rosario Venturini Autieri / Getty Images
Sanallaştırma yazılımı, onlarca yıldır bilgisayarların verimliliğini büyük ölçüde artırmanın bir yolunu sunarak, tüm bilgisayar koleksiyonlarını yalnızca tek bir fiziksel makinede “sanal makineler” olarak barındırıyor. Ve neredeyse bir süredir, güvenlik araştırmacıları bu teknolojinin potansiyel karanlık yüzü hakkında uyardılar: bilgisayar korsanlarının sanal makineleri gözetlemek ve sanal makineleri manipüle etmek için sanallaştırmayı ele geçirdiği ve potansiyel olarak hedeflenen bir bilgisayar için hiçbir yolu olmayan teorik “hiperjacking” ve “Blue Pill” saldırıları. izinsiz girişi tespit etmek için. Bu sinsi casusluk, sonunda gizemli bir hacker ekibinin vahşi doğada bir dizi “hiperjacking” saldırısı düzenlediği uyarılarıyla araştırma makalelerinden gerçeğe sıçradı.
Bugün, Google’ın sahip olduğu güvenlik firması Mandiant ve sanallaştırma firması VMware, karmaşık bir hacker grubunun, görünür bir casusluk kampanyasının parçası olarak birden çok hedefin ağına VMware’in sanallaştırma yazılımına arka kapılar yüklediğine dair ortak bir uyarı yayınladı. Bilgisayar korsanları, kurbanların sözde hiper denetleyicilerine (barındırdığı tüm sanal makineleri yönetmek için fiziksel bir bilgisayarda çalışan VMware yazılımı) kendi kodlarını yerleştirerek, bu hiper denetleyicilerin denetlediği bilgisayarlarda görünmez bir şekilde komutları izleyip çalıştırabildiler. Kötü niyetli kod, kurbanın sanal makinelerinden ziyade fiziksel makinedeki hipervizörü hedef aldığından, bilgisayar korsanlarının hilesi erişimlerini çoğaltır ve bu hedef makineleri kötü oyun belirtilerine karşı izlemek için tasarlanmış neredeyse tüm geleneksel güvenlik önlemlerini atlatır.
“Bir makineden ödün verebileceğiniz ve oradan sanal makineleri kontrol etme yeteneğine sahip olabileceğiniz fikri çok fazla çok büyük,” diyor Mandiant danışmanı Alex Marvi. Ve hatta hedef sanal makinenin süreçlerini yakından izleyen bir gözlemcinin, casusluğu gerçekleştiren kötü amaçlı yazılımın sistemin tamamen dışında kalan bir sisteme bulaştığı göz önüne alındığında, çoğu durumda izinsiz girişin yalnızca “yan etkilerini” göreceğini söylüyor. sistem.
Mandiant, bu yılın başlarında bilgisayar korsanlarını keşfetti ve tekniklerini VMware’in dikkatine sundu. Araştırmacılar, grubun sanallaştırma korsanlığını (tarihsel olarak “hipervizör kaçırma” olarak adlandırılan bir teknik olan) Kuzey Amerika ve Asya’daki 10’dan az kurban ağında gerçekleştirdiğini gördüklerini söylüyorlar. Mandiant, bilinen herhangi bir grup olarak tanımlanmayan bilgisayar korsanlarının Çin ile bağlantılı göründüğünü belirtiyor. Ancak şirket, bu iddiaya yalnızca “düşük güven” derecesi vererek, değerlendirmenin grubun kurbanlarının analizine ve kodları ile bilinen diğer kötü amaçlı yazılımların kodu arasındaki bazı benzerliklere dayandığını açıklıyor.