Хакерска група, известна под името Scattered Spider, е започнала да атакува виртуални сървъри (хипервайзори) на VMware ESXi, използвани от компании в секторите на търговията, авиотранспорта и транспорта в Северна Америка.
Според анализ на експертите от Google (екипа на Mandiant), тези атаки не използват обичайни софтуерни уязвимости. Вместо това, хакерите разчитат на социален инженеринг – техника, при която чрез измамни телефонни обаждания до IT отделите на компаниите успяват да получат достъп до вътрешни системи.
„Това са изключително умели и настъпателни нападатели, които използват хитри и целенасочени методи. Те не нападат случайни жертви, а планират и изпълняват операции срещу най-важните данни и системи на организацията“, казват от Google.
Групата е известна още с имената 0ktapus, Muddled Libra, Octo Tempest и UNC3944. Тя използва усъвършенствани методи за измама, за да се представя за служители и да получи първоначален достъп до вътрешни системи. След това хакерите използват вече наличните системни инструменти, за да се придвижват из мрежата – техника, известна като "living-off-the-land".
Една от основните им цели е да получат контрол над Active Directory – сървър, който управлява потребителите и достъпа в мрежата. Оттам те се насочват към виртуалната инфраструктура на VMware vSphere, която управлява виртуалните машини на компанията.
Според експертите от Google, този метод е изключително ефективен, защото:
Какво можем да научим от това?
Атаките от този тип показват, че дори най-сигурните на пръв поглед системи могат да бъдат компрометирани чрез измама на човешко ниво. Затова е изключително важно:
Ако имате виртуализирана инфраструктура във вашия бизнес – независимо дали е малък или голям – сега е моментът да прегледате мерките си за сигурност. Хакерите стават все по-хитри, а основната им цел е вашата най-ценна информация.
Как протича атаката?
Хакерите действат в пет ясно разграничени стъпки:
Атаката започва със събиране на данни – хакерите се сдобиват с вътрешни документи, ръководства за ИТ поддръжка, организационни диаграми и дори достъп до пароли, съхранени в мениджъри като HashiCorp Vault. Те дори се обаждат на ИТ отдела, като се представят за важен администратор, и искат нулиране на парола – тактика, която често успява.
След като получат нужната информация, те прехвърлят атаката към виртуалните сървъри, свързани с Active Directory. Оттам поемат контрол над централната система за управление – VMware vCenter. С помощта на инструмент, наречен teleport, създават постоянен криптиран канал за комуникация, който заобикаля защитните стени.
Хакерите активират достъпа по SSH (отдалечен достъп чрез терминал) до сървърите, нулират root паролите и използват хитра техника, наречена „disk-swap“. При нея спират виртуална машина с ролята на домейн контролер (DC), откачат виртуалния ѝ диск и го закачат към друг сървър, който контролират. Така копират основния файл с потребителските данни – NTDS.dit – и след това възстановяват всичко, така че никой да не забележи промяната.
След като вече имат контрол, следващата стъпка е да изтрият резервните копия, снимки на виртуални машини и хранилища с цел да попречат на възстановяването на системата след атаката.
С последния удар те качват своя персонализиран рансъмуер директно на сървърите чрез сигурни протоколи като SCP или SFTP, използвайки вече отворения SSH достъп.
