Cyberbrottslingar kommer ständigt på nya sätt att stjäla värdefull data och använda den till sin fördel. Data är enormt värdefull på mörka marknader, och en enda illvillig aktör skulle kunna tjäna miljoner på att sälja olagligt förvärvad information. Hyperjacking är en annan olaglig metod som kan användas för att spionera på offer, kontrollera enheter och stjäla värdefull information. Så, vad är hyperjacking, och hur kan du hålla dig säker från det?
Vad är Hyperjacking?
Hyperjacking innebär kompromiss och obehörig kontroll av en virtuell maskin (VM). Så innan vi diskuterar hyperjacking i detalj, måste vi först förstå vad en virtuell maskin är.
Vad är en virtuell maskin?
En virtuell maskin är just det: en icke-fysisk maskin som använder virtualiseringsmjukvara istället för hårdvara för att fungera. Även om virtuella maskiner måste finnas på en hårdvara, fungerar de med virtuella komponenter (som en virtuell CPU).
Hypervisorer utgör ryggraden i virtuella maskiner. Dessa är program som ansvarar för att skapa, köra och hantera virtuella datorer. En enda hypervisor kan vara värd för flera virtuella maskiner, eller flera gästoperativsystem, samtidigt, vilket också ger den det alternativa namnet på virtuell maskinhanterare (VMM).
Det finns två typer av hypervisorer. Den första är känd som en "bar metall" eller "native" hypervisor, med den andra är en "värd" hypervisor. Vad du bör notera är att det är hypervisorerna på virtuella maskiner som är målen för hyperjackingattacker (därav termen "hyperjacking").
Ursprunget till Hyperjacking
I mitten av 2000-talet fann forskare att hyperjacking var en möjlighet. På den tiden var hyperjackingattacker helt teoretiska, men hotet om att en skulle utföras fanns alltid där. I takt med att tekniken går framåt och cyberbrottslingar blir mer uppfinningsrika ökar risken för hyperjackattacker för varje år.
Faktum är att i september 2022 började varningar för verkliga hyperjackingattacker uppstå. Både Mandiant och VMWare publicerade varningar uppger att de hittat illvilliga aktörer som använder skadlig programvara för att utföra hyperjacking-attacker i naturen via en skadlig version av VMWare-programvaran. I denna satsning infogade hotaktörerna sin egen skadliga kod i offrens hypervisorer samtidigt som de kringgick målenheternas säkerhetsåtgärder (liknande ett rootkit).
Genom denna exploatering kunde hackarna i fråga köra kommandon på de virtuella maskinernas värdenheter utan upptäckt.
Hur fungerar en hyperjacking-attack?
Hypervisorer är huvudmålet för hyperjackingattacker. I en typisk attack kommer den ursprungliga hypervisorn att ersättas via installationen av en oseriös, illvillig hypervisor som hotaktören har kontroll över. Genom att installera en oseriös hypervisor under originalet kan angriparen därför få kontroll över den legitima hypervisorn och utnyttja den virtuella datorn.
Genom att ha kontroll över hypervisorn på en virtuell maskin kan angriparen i sin tur få kontroll över hela VM-servern. Det betyder att de kan manipulera vad som helst i den virtuella maskinen. I den tidigare nämnda hyperjacking-attacken som tillkännagavs i september 2022 fann man att hackare använde hyperjacking för att spionera på offer.
Jämfört med andra enormt populära cyberbrottstaktik som nätfiske och ransomware är hyperjacking inte särskilt vanligt för tillfället. Men med den första bekräftade användningen av den här metoden är det viktigt att du vet hur du håller dina enheter och dina data säkra.
Hur man undviker hyperjacking
Tyvärr har hyperjacking visat sig undvika vissa säkerhetsåtgärder som finns på din enhet. Men detta betyder inte att du inte fortfarande bör använda höga skyddsnivåer för att minska risken för att en angripare riktar sig mot din hypervisor.
Naturligtvis bör du alltid se till att din virtuella maskin är välutrustad med olika säkerhetslager. Du kan till exempel isolera var och en av dina virtuella maskiner med hjälp av en brandvägg, och se till att din värdenhet har tillräckligt antivirusskydd.
Du bör också se till att din hypervisor korrigeras regelbundet så att skadliga aktörer inte kan utnyttja buggar och sårbarheter i programvaran. Detta är ett av de vanligaste sätten för cyberbrottslingar att utföra attacker, och de kan ibland göra mycket skada innan programvaruleverantören blir medveten om säkerhetsbristen.
Du bör också begränsa de enheter som din virtuella maskin har tillgång till. När en angripare får kontroll över en virtuell maskin kan de använda den för att komma åt annan hårdvara, till exempel värdenheten. Försök att inte länka din virtuella dator till onödiga enheter för att undvika att en angripare utnyttjar den ytterligare om den äventyras.
Hyperjacking kan bli ett betydande problem inom en snar framtid
Även om hyperjacking verkar relativt nytt som en utövad cyberbrottstaktik, finns det en god chans att dess prevalensen kommer att börja växa bland hackergrupper som vill utnyttja maskiner, spionera på offer och stjäla data. Så om du har en eller flera virtuella maskiner, se till att du skyddar dem så mycket som möjligt för att undvika att falla offer för en hyperjacking-attack.