Los delincuentes han logrado comprometer los hipervisores ESXi de VMware y obtener acceso a innumerables máquinas virtuales, lo que significa que pueden espiar a numerosas empresas que usan el hardware sin que esas empresas sepan que están siendo espiadas.
La advertencia fue emitida por la firma de inteligencia de amenazas cibernéticas Mandiant, junto con la firma de virtualización VMware.
Según las dos empresas, actores de amenazas desconocidos con posibles vínculos con China instalaron dos programas maliciosos en hipervisores sin sistema operativo, utilizando paquetes de instalación de vSphere. Los llamaron VirtualPita y VirtualPie («Pita» también significa «pastel» en algunos idiomas eslavos). Además, descubrieron un malware/cuentagotas único denominado VirtualGate.
Sin vulnerabilidad
Lo que es importante tener en cuenta es que los atacantes no encontraron un día cero ni explotaron una vulnerabilidad conocida diferente. En su lugar, usaron acceso de nivel de administrador a los hipervisores ESXi para instalar sus herramientas.
Hablando a CON CABLEVMware dijo que «si bien no existe una vulnerabilidad de VMware involucrada, destacamos la necesidad de prácticas sólidas de seguridad operativa que incluyan la administración segura de credenciales y la seguridad de la red».
VMware también dijo que preparó una guía de «fortalecimiento» para los administradores de configuración de VMware, que debería ayudarlos a protegerse contra este tipo de ataque.
El actor de amenazas se rastrea como UNC3886. Los investigadores dicen que si bien muestra algunos signos de ser un grupo basado en China (las víctimas son las mismas que para otros grupos chinos; hay ciertas similitudes en el malware (se abre en una pestaña nueva) código y otros programas maliciosos conocidos), no pueden confirmar, con absoluta certeza, que ese sea el caso.
El ataque permite a los actores de amenazas mantener un acceso de administrador persistente al hipervisor, enviar comandos al punto final (se abre en una pestaña nueva) que se enrutarán a la VM invitada para su ejecución, robar archivos entre el hipervisor ESXi y las máquinas invitadas que se ejecutan debajo de él, realizar cambios en los servicios de registro en el hipervisor y ejecutar comandos arbitrarios de una VM invitada a otra VM invitada, siempre que están en el mismo hipervisor.
Vía: Alámbrico (se abre en una pestaña nueva)