Cybercriminelen bedenken voortdurend nieuwe manieren om kostbare gegevens te stelen en deze in hun voordeel te gebruiken. Gegevens zijn enorm waardevol op duistere markten en een enkele kwaadwillende kan miljoenen verdienen door illegaal verkregen informatie te verkopen. Hyperjacking is een andere ongeoorloofde methode die kan worden gebruikt om slachtoffers te bespioneren, apparaten te bedienen en waardevolle informatie te stelen. Dus, wat is hyperjacking en hoe kun je je ertegen beschermen?
Wat is hyperjacken?
Hyperjacking omvat het compromitteren en ongeoorloofd beheer van een virtuele machine (VM). Dus voordat we hyperjacking in detail bespreken, moeten we eerst begrijpen wat een virtuele machine is.
Wat is een virtuele machine?
Een virtuele machine is precies dat: een niet-fysieke machine die virtualisatiesoftware gebruikt in plaats van hardware om te functioneren. Hoewel virtuele machines op een stuk hardware moeten bestaan, werken ze met behulp van virtuele componenten (zoals een virtuele CPU).
Hypervisors vormen de ruggengraat van virtuele machines. Dit zijn softwareprogramma's die verantwoordelijk zijn voor het maken, uitvoeren en beheren van VM's. Een enkele hypervisor kan er meerdere hosten virtuele machines of meerdere gastbesturingssystemen tegelijk, waardoor het ook de alternatieve naam virtuele machinemanager krijgt (VMM).
Er zijn twee soorten hypervisors. De eerste staat bekend als een "bare metal" of "native" hypervisor, terwijl de tweede een "host" hypervisor is. Waar u op moet letten, is dat het de hypervisors van virtuele machines zijn die het doelwit zijn van hyperjacking-aanvallen (vandaar de term "hyperjacking").
De oorsprong van hyperjacking
Halverwege de jaren 2000 ontdekten onderzoekers dat hyperjacking een mogelijkheid was. In die tijd waren hyperjacking-aanvallen volledig theoretisch, maar de dreiging dat er een zou worden uitgevoerd, was er altijd. Naarmate de technologie voortschrijdt en cybercriminelen inventiever worden, neemt het risico op hyperjacking-aanvallen met het jaar toe.
In september 2022 begonnen zelfs waarschuwingen voor echte hyperjacking-aanvallen te verschijnen. Beide Mandiant en VMWare publiceerden waarschuwingen waarin staat dat ze kwaadwillende actoren hebben gevonden die malware gebruiken om in het wild hyperjacking-aanvallen uit te voeren via een schadelijke versie van VMWare-software. In deze onderneming plaatsten de bedreigingsactoren hun eigen kwaadaardige code in de hypervisors van de slachtoffers, terwijl ze de beveiligingsmaatregelen van de doelapparaten omzeilden (vergelijkbaar met een rootkit).
Door deze exploit konden de hackers in kwestie zonder detectie opdrachten uitvoeren op de hostapparaten van de virtuele machines.
Hoe werkt een hyperjacking-aanval?
Hypervisors zijn het belangrijkste doelwit van hyperjacking-aanvallen. Bij een typische aanval wordt de originele hypervisor vervangen door de installatie van een malafide, kwaadwillende hypervisor waarover de bedreigingsactor controle heeft. Door een malafide hypervisor onder het origineel te installeren, kan de aanvaller dus controle krijgen over de legitieme hypervisor en de VM misbruiken.
Door controle te hebben over de hypervisor van een virtuele machine, kan de aanvaller op zijn beurt controle krijgen over de volledige VM-server. Dit betekent dat ze alles in de virtuele machine kunnen manipuleren. Bij de eerder genoemde hyperjacking-aanval die in september 2022 werd aangekondigd, bleek dat hackers hyperjacking gebruikten om slachtoffers te bespioneren.
Vergeleken met andere enorm populaire cybercriminaliteitstactieken zoals phishing en ransomware, is hyperjacking momenteel niet erg gebruikelijk. Maar bij het eerste bevestigde gebruik van deze methode is het belangrijk dat u weet hoe u uw apparaten en uw gegevens veilig kunt houden.
Hoe hyperjacking te voorkomen
Helaas is gebleken dat hyperjacking bepaalde beveiligingsmaatregelen op uw apparaat omzeilt. Maar dit betekent niet dat u niet nog steeds hoge beveiligingsniveaus moet gebruiken om de kans te verkleinen dat een aanvaller uw hypervisor aanvalt.
Natuurlijk moet u er altijd voor zorgen dat uw virtuele machine goed is uitgerust met verschillende beveiligingslagen. U kunt bijvoorbeeld elk van uw virtuele machines isoleren een firewall gebruikenen zorg ervoor dat uw hostapparaat voldoende antivirusbescherming heeft.
U moet er ook voor zorgen dat uw hypervisor regelmatig wordt gepatcht, zodat kwaadwillende actoren geen misbruik kunnen maken van bugs en kwetsbaarheden in de software. Dit is een van de meest voorkomende manieren waarop cybercriminelen aanvallen uitvoeren en ze kunnen soms veel schade aanrichten voordat de softwareleverancier zich bewust wordt van het beveiligingslek.
U moet ook de apparaten beperken waartoe uw virtuele machine toegang heeft. Wanneer een aanvaller controle krijgt over een virtuele machine, kan deze deze gebruiken om toegang te krijgen tot andere hardware, zoals het hostapparaat. Probeer uw VM niet aan onnodige apparaten te koppelen om te voorkomen dat een aanvaller deze verder uitbuit als deze wordt gecompromitteerd.
Hyperjacking kan in de nabije toekomst een aanzienlijk probleem worden
Hoewel hyperjacking relatief nieuw lijkt als beoefende cybercriminaliteitstactiek, is de kans groot dat het dat wel is de prevalentie zal beginnen te groeien onder hackergroepen die machines willen exploiteren, slachtoffers willen bespioneren en willen stelen gegevens. Dus als je een of meer virtuele machines hebt, zorg er dan voor dat je ze zo goed mogelijk beschermt om te voorkomen dat je het slachtoffer wordt van een hyperjacking-aanval.
