Marco Rosario Venturini Autieri / Getty Images
Durante décadas, el software de virtualización ha ofrecido una forma de multiplicar enormemente la eficiencia de las computadoras, alojando colecciones completas de computadoras como “máquinas virtuales” en una sola máquina física. Y durante casi el mismo tiempo, los investigadores de seguridad han advertido sobre el posible lado oscuro de esa tecnología: los ataques teóricos de “hyperjacking” y “Blue Pill”, donde los piratas informáticos secuestran la virtualización para espiar y manipular máquinas virtuales, sin posibilidad de que una computadora objetivo. para detectar la intrusión. Ese espionaje insidioso finalmente saltó de los trabajos de investigación a la realidad con advertencias de que un misterioso equipo de piratas informáticos ha llevado a cabo una serie de ataques de “hipersecuestro” en la naturaleza.
Hoy, la empresa de seguridad Mandiant, propiedad de Google, y la empresa de virtualización VMware publicaron conjuntamente advertencias de que un sofisticado grupo de piratas informáticos ha estado instalando puertas traseras en el software de virtualización de VMware en redes de múltiples objetivos como parte de una aparente campaña de espionaje. Al plantar su propio código en los llamados hipervisores de las víctimas, un software de VMware que se ejecuta en una computadora física para administrar todas las máquinas virtuales que aloja, los piratas informáticos pudieron observar y ejecutar comandos de manera invisible en las computadoras que supervisan esos hipervisores. Y debido a que el código malicioso apunta al hipervisor en la máquina física en lugar de las máquinas virtuales de la víctima, el truco de los piratas informáticos multiplica su acceso y evade casi todas las medidas de seguridad tradicionales diseñadas para monitorear esas máquinas objetivo en busca de signos de juego sucio.
“La idea de que puedes comprometer una máquina y desde allí tener la capacidad de controlar máquinas virtuales mucho es enorme”, dice el consultor de Mandiant, Alex Marvi. E incluso observando de cerca los procesos de una máquina virtual de destino, dice, un observador en muchos casos solo vería “efectos secundarios” de la intrusión, dado que el malware que realizaba ese espionaje había infectado una parte del sistema completamente fuera de su funcionamiento. sistema.
Mandiant descubrió a los piratas informáticos a principios de este año y llamó la atención de VMware sobre sus técnicas. Los investigadores dicen que han visto al grupo llevar a cabo su piratería de virtualización, una técnica históricamente denominada hyperjacking en referencia al “secuestro de hipervisor”, en menos de 10 redes de víctimas en América del Norte y Asia. Mandiant señala que los piratas informáticos, que no han sido identificados como ningún grupo conocido, parecen estar vinculados a China. Pero la compañía otorga a esa afirmación solo una calificación de “baja confianza”, explicando que la evaluación se basa en un análisis de las víctimas del grupo y algunas similitudes entre su código y el de otro malware conocido.