Cyberkriminelle udtænker konstant nye måder at stjæle værdifulde data på og bruge dem til deres fordel. Data er enormt værdifulde på mørke markeder, og en enkelt ondsindet aktør kan stå til at tjene millioner på at sælge ulovligt erhvervet information. Hyperjacking er en anden ulovlig metode, der kan bruges til at spionere på ofre, kontrollere enheder og stjæle værdifuld information. Så hvad er hyperjacking, og hvordan kan du forblive sikker fra det?
Hvad er Hyperjacking?
Hyperjacking involverer kompromittering og uautoriseret kontrol af en virtuel maskine (VM). Så før vi diskuterer hyperjacking i detaljer, skal vi først forstå, hvad en virtuel maskine er.
Hvad er en virtuel maskine?
En virtuel maskine er netop det: en ikke-fysisk maskine, der bruger virtualiseringssoftware i stedet for hardware til at fungere. Selvom virtuelle maskiner skal eksistere på et stykke hardware, fungerer de ved hjælp af virtuelle komponenter (såsom en virtuel CPU).
Hypervisorer udgør rygraden i virtuelle maskiner
. Disse er softwareprogrammer, der er ansvarlige for at skabe, køre og administrere VM'er. En enkelt hypervisor kan være vært for flere virtuelle maskiner eller flere gæsteoperativsystemer på én gang, hvilket også giver den det alternative navn på virtual machine manager (VMM).Der er to slags hypervisorer. Den første er kendt som en "bare metal" eller "native" hypervisor, hvor den anden er en "host" hypervisor. Hvad du bør bemærke er, at det er hypervisorerne på virtuelle maskiner, der er mål for hyperjacking-angreb (deraf udtrykket "hyper-jacking").
Oprindelsen af Hyperjacking
I midten af 2000'erne fandt forskere ud af, at hyperjacking var en mulighed. På det tidspunkt var hyperjacking-angreb helt teoretiske, men truslen om at et blev udført var der altid. Efterhånden som teknologien udvikler sig, og cyberkriminelle bliver mere opfindsomme, stiger risikoen for hyperjacking-angreb fra år til år.
Faktisk begyndte der i september 2022 at opstå advarsler om rigtige hyperjacking-angreb. Begge Mandiant og VMWare publicerede advarsler med angivelse af, at de fandt ondsindede aktører, der brugte malware til at udføre hyperjacking-angreb i naturen via en skadelig version af VMWare-software. I denne satsning indsatte trusselsaktørerne deres egen ondsindede kode i ofrenes hypervisorer, mens de omgik målenhedernes sikkerhedsforanstaltninger (på samme måde som et rootkit).
Gennem denne udnyttelse var de pågældende hackere i stand til at køre kommandoer på de virtuelle maskiners værtsenheder uden registrering.
Hvordan fungerer et hyperjacking-angreb?
Hypervisorer er hovedmålet for hyperjacking-angreb. I et typisk angreb vil den originale hypervisor blive erstattet via installationen af en useriøs, ondsindet hypervisor, som trusselsaktøren har kontrol over. Ved at installere en useriøs hypervisor under originalen, kan angriberen derfor få kontrol over den legitime hypervisor og udnytte VM'en.
Ved at have kontrol over hypervisoren på en virtuel maskine, kan angriberen til gengæld få kontrol over hele VM-serveren. Det betyder, at de kan manipulere hvad som helst i den virtuelle maskine. I det førnævnte hyperjacking-angreb annonceret i september 2022, blev det konstateret, at hackere brugte hyperjacking til at spionere på ofre.
Sammenlignet med andre enormt populære cyberkriminalitetstaktikker som phishing og ransomware, er hyperjacking ikke særlig almindeligt i øjeblikket. Men med den første bekræftede brug af denne metode, er det vigtigt, at du ved, hvordan du holder dine enheder og dine data sikre.
Sådan undgår du hyperjacking
Desværre har hyperjacking vist sig at omgå visse sikkerhedsforanstaltninger på din enhed. Men det betyder ikke, at du stadig ikke skal bruge høje niveauer af beskyttelse for at mindske chancen for, at en angriber målretter mod din hypervisor.
Du skal selvfølgelig altid sikre dig, at din virtuelle maskine er veludstyret med forskellige sikkerhedslag. For eksempel kan du isolere hver af dine virtuelle maskiner ved hjælp af en firewall, og sørg for, at din værtsenhed har tilstrækkelig antivirusbeskyttelse.
Du bør også sikre dig, at din hypervisor jævnligt lappes, så ondsindede aktører ikke kan udnytte fejl og sårbarheder i softwaren. Dette er en af de mest almindelige måder, hvorpå cyberkriminelle udfører angreb, og de kan nogle gange gøre meget skade, før softwareudbyderen bliver opmærksom på sikkerhedsbristen.
Du bør også begrænse de enheder, som din virtuelle maskine har adgang til. Når en angriber får kontrol over en virtuel maskine, kan de bruge den til at få adgang til anden hardware, såsom værtsenheden. Prøv ikke at linke din VM til unødvendige enheder for at undgå, at en hacker udnytter den yderligere, hvis den kompromitteres.
Hyperjacking kan blive et væsentligt problem i den nærmeste fremtid
Selvom hyperjacking virker relativt ny som en praktiseret cyberkriminalitetstaktik, er der en god chance for, at det udbredelsen vil begynde at vokse blandt hackergrupper, der ønsker at udnytte maskiner, spionere på ofre og stjæle data. Så hvis du har en eller flere virtuelle maskiner, skal du sørge for at beskytte dem så meget som muligt for at undgå at blive offer for et hyperjacking-angreb.