Nettkriminelle finner stadig nye måter å stjele dyrebare data på og bruke dem til sin fordel. Data er enormt verdifulle i mørke markeder, og en enkelt ondsinnet aktør kan tjene millioner på å selge ulovlig innhentet informasjon. Hyperjacking er en annen ulovlig metode som kan brukes til å spionere på ofre, kontrollere enheter og stjele verdifull informasjon. Så, hva er hyperjacking, og hvordan kan du holde deg trygg fra det?
Hva er Hyperjacking?
Hyperjacking innebærer kompromiss og uautorisert kontroll av en virtuell maskin (VM). Så før vi diskuterer hyperjacking i detalj, må vi først forstå hva en virtuell maskin er.
Hva er en virtuell maskin?
En virtuell maskin er nettopp det: en ikke-fysisk maskin som bruker virtualiseringsprogramvare i stedet for maskinvare for å fungere. Selv om virtuelle maskiner må eksistere på en maskinvare, opererer de ved hjelp av virtuelle komponenter (som en virtuell CPU).
Hypervisorer utgjør ryggraden i virtuelle maskiner. Dette er programmer som er ansvarlige for å lage, kjøre og administrere VM-er. En enkelt hypervisor kan være vert for flere virtuelle maskiner, eller flere gjesteoperativsystemer, samtidig, noe som også gir den det alternative navnet på virtuell maskinbehandler (VMM).
Det finnes to typer hypervisorer. Den første er kjent som en "bart metall" eller "native" hypervisor, mens den andre er en "vert" hypervisor. Det du bør merke deg er at det er hypervisorene til virtuelle maskiner som er mål for hyperjacking-angrep (derav begrepet "hyper-jacking").
Opprinnelsen til Hyperjacking
På midten av 2000-tallet fant forskere at hyperjacking var en mulighet. På den tiden var hyperjacking-angrep helt teoretiske, men trusselen om at en ble utført var alltid der. Ettersom teknologien går videre og nettkriminelle blir mer oppfinnsomme, øker risikoen for hyperjacking-angrep for hvert år.
Faktisk, i september 2022 begynte advarsler om ekte hyperjacking-angrep å dukke opp. Både Mandiant og VMWare publiserte advarsler uttalte at de fant ondsinnede aktører som brukte skadelig programvare for å utføre hyperjacking-angrep i naturen via en skadelig versjon av VMWare-programvare. I denne satsingen satte trusselaktørene inn sin egen ondsinnede kode i ofrenes hypervisorer mens de gikk utenom målenhetenes sikkerhetstiltak (på samme måte som et rootkit).
Gjennom denne utnyttelsen var de aktuelle hackerne i stand til å kjøre kommandoer på de virtuelle maskinenes vertsenheter uten deteksjon.
Hvordan fungerer et hyperjacking-angrep?
Hypervisorer er hovedmålet for hyperjacking-angrep. I et typisk angrep vil den opprinnelige hypervisoren bli erstattet via installasjon av en useriøs, ondsinnet hypervisor som trusselaktøren har kontroll over. Ved å installere en useriøs hypervisor under originalen, kan angriperen derfor få kontroll over den legitime hypervisoren og utnytte VM.
Ved å ha kontroll over hypervisoren til en virtuell maskin, kan angriperen på sin side få kontroll over hele VM-serveren. Dette betyr at de kan manipulere hva som helst i den virtuelle maskinen. I det nevnte hyperjacking-angrepet kunngjort i september 2022, ble det funnet at hackere brukte hyperjacking for å spionere på ofre.
Sammenlignet med andre svært populære nettkriminalitetstaktikker som phishing og løsepengevare, er hyperjacking ikke veldig vanlig for øyeblikket. Men med den første bekreftede bruken av denne metoden, er det viktig at du vet hvordan du holder enhetene dine og dataene dine trygge.
Hvordan unngå hyperjacking
Dessverre har hyperjacking vist seg å unngå visse sikkerhetstiltak på enheten din. Men dette betyr ikke at du fortsatt ikke bør bruke høye nivåer av sikring for å redusere sjansen for at en angriper målretter hypervisoren din.
Selvfølgelig bør du alltid sørge for at den virtuelle maskinen din er godt utstyrt med ulike lag med sikkerhet. Du kan for eksempel isolere hver av de virtuelle maskinene dine ved hjelp av en brannmur, og sørg for at vertsenheten din har tilstrekkelig antivirusbeskyttelse.
Du bør også sørge for at hypervisoren din jevnlig blir oppdatering slik at ondsinnede aktører ikke kan utnytte feil og sårbarheter i programvaren. Dette er en av de vanligste måtene nettkriminelle utfører angrep på, og de kan noen ganger gjøre mye skade før programvareleverandøren blir klar over sikkerhetsbristen.
Du bør også begrense enhetene som den virtuelle maskinen din har tilgang til. Når en angriper får kontroll over en virtuell maskin, kan de bruke den til å få tilgang til annen maskinvare, for eksempel vertsenheten. Prøv å ikke koble VM-en til unødvendige enheter for å unngå at en angriper utnytter den ytterligere hvis den blir kompromittert.
Hyperjacking kan bli et betydelig problem i nær fremtid
Selv om hyperjacking virker relativt nytt som en praktisert nettkriminalitetstaktikk, er det en god sjanse for at det utbredelsen vil begynne å vokse blant hackergrupper som ønsker å utnytte maskiner, spionere på ofre og stjele data. Så hvis du har en eller flere virtuelle maskiner, sørg for at du beskytter dem så mye som mulig for å unngå å bli offer for et hyperjacking-angrep.