Les cybercriminels conçoivent constamment de nouvelles façons de voler des données précieuses et de les utiliser à leur avantage. Les données sont extrêmement précieuses sur les marchés sombres, et un seul acteur malveillant pourrait gagner des millions en vendant des informations acquises illégalement. L'hyperjacking est une autre méthode illicite qui peut être utilisée pour espionner les victimes, contrôler les appareils et voler des informations précieuses. Alors, qu'est-ce que l'hyperjacking et comment s'en protéger ?
Qu'est-ce que l'hyperjacking ?
L'hyperjacking implique la compromission et le contrôle non autorisé d'une machine virtuelle (VM). Donc, avant de discuter en détail de l'hyperjacking, nous devons d'abord comprendre ce qu'est une machine virtuelle.
Qu'est-ce qu'une machine virtuelle ?
Une machine virtuelle n'est que cela: une machine non physique qui utilise un logiciel de virtualisation au lieu d'un matériel pour fonctionner. Bien que les machines virtuelles doivent exister sur un élément matériel, elles fonctionnent à l'aide de composants virtuels (tels qu'un processeur virtuel).
Les hyperviseurs constituent l'épine dorsale des machines virtuelles. Ce sont des logiciels qui sont responsables de la création, de l'exécution et de la gestion des machines virtuelles. Un même hyperviseur peut héberger plusieurs machines virtuelles, ou plusieurs systèmes d'exploitation invités, en même temps, ce qui lui donne également le nom alternatif de gestionnaire de machines virtuelles (VMM).
Il existe deux types d'hyperviseurs. Le premier est appelé hyperviseur "bare metal" ou "natif", le second étant un hyperviseur "hôte". Ce qu'il faut savoir, c'est que ce sont les hyperviseurs des machines virtuelles qui sont les cibles des attaques d'hyperjacking (d'où le terme "hyper-jacking").
Les origines de l'hyperjacking
Au milieu des années 2000, des chercheurs ont découvert que l'hyperjacking était une possibilité. À l'époque, les attaques d'hyperjacking étaient entièrement théoriques, mais la menace d'en être exécutée était toujours là. À mesure que la technologie progresse et que les cybercriminels deviennent plus inventifs, le risque d'attaques par hyperjacking augmente d'année en année.
En fait, en septembre 2022, des avertissements de véritables attaques d'hyperjacking ont commencé à apparaître. Les deux Avertissements publiés par Mandiant et VMWare déclarant qu'ils ont trouvé des acteurs malveillants utilisant des logiciels malveillants pour mener des attaques d'hyperjacking dans la nature via une version nuisible du logiciel VMWare. Dans cette entreprise, les acteurs de la menace ont inséré leur propre code malveillant dans les hyperviseurs des victimes tout en contournant les mesures de sécurité des appareils cibles (similaire à un rootkit).
Grâce à cet exploit, les pirates en question ont pu exécuter des commandes sur les périphériques hôtes des machines virtuelles sans être détectés.
Comment fonctionne une attaque d'hyperjacking ?
Les hyperviseurs sont la cible principale des attaques d'hyperjacking. Lors d'une attaque typique, l'hyperviseur d'origine sera remplacé par l'installation d'un hyperviseur malveillant malveillant dont l'auteur de la menace a le contrôle. En installant un hyperviseur voyou sous l'original, l'attaquant peut donc prendre le contrôle de l'hyperviseur légitime et exploiter la VM.
En ayant le contrôle sur l'hyperviseur d'une machine virtuelle, l'attaquant peut, à son tour, prendre le contrôle de l'ensemble du serveur VM. Cela signifie qu'ils peuvent manipuler n'importe quoi dans la machine virtuelle. Dans l'attaque d'hyperjacking susmentionnée annoncée en septembre 2022, il a été découvert que les pirates utilisaient l'hyperjacking pour espionner les victimes.
Comparé à d'autres tactiques de cybercriminalité extrêmement populaires comme le phishing et les ransomwares, l'hyperjacking n'est pas très courant pour le moment. Mais avec la première utilisation confirmée de cette méthode, il est important que vous sachiez comment protéger vos appareils et vos données.
Comment éviter l'hyperjacking
Malheureusement, il a été constaté que l'hyperjacking échappait à certaines mesures de sécurité présentes sur votre appareil. Mais cela ne signifie pas que vous ne devriez pas toujours utiliser des niveaux élevés de protection pour réduire le risque qu'un attaquant cible votre hyperviseur.
Bien sûr, vous devez toujours vous assurer que votre machine virtuelle est bien équipée avec différentes couches de sécurité. Par exemple, vous pourriez isoler chacune de vos machines virtuelles à l'aide d'un pare-feu, et assurez-vous que votre périphérique hôte dispose d'une protection antivirus adéquate.
Vous devez également vous assurer que votre hyperviseur est régulièrement corrigé afin que les acteurs malveillants ne puissent pas exploiter les bogues et les vulnérabilités du logiciel. C'est l'un des moyens les plus courants par lesquels les cybercriminels mènent des attaques, et ils peuvent parfois faire beaucoup de dégâts avant que le fournisseur de logiciels ne prenne conscience de la faille de sécurité.
Vous devez également limiter les périphériques auxquels votre machine virtuelle a accès. Lorsqu'un attaquant prend le contrôle d'une machine virtuelle, il peut l'utiliser pour accéder à un autre matériel, tel que le périphérique hôte. Essayez de ne pas lier votre machine virtuelle à des appareils inutiles pour éviter qu'un attaquant ne l'exploite davantage si elle est compromise.
L'hyperjacking pourrait devenir un problème important dans un avenir proche
Bien que l'hyperjacking semble relativement nouveau en tant que tactique de cybercriminalité pratiquée, il y a de fortes chances que son la prévalence commencera à augmenter parmi les groupes de pirates cherchant à exploiter des machines, à espionner des victimes et à voler données. Donc, si vous avez une ou plusieurs machines virtuelles, assurez-vous de les protéger au maximum pour éviter d'être victime d'une attaque d'hyperjacking.
