Κακόβουλοι παράγοντες εντοπίστηκαν να καταχρώνται την πλατφόρμα υπολογιστικής εικονικοποίησης QEMU ως δίαυλο για κυβερνοεπίθεση εναντίον μιας μεγάλης εταιρείας.

Δείτε επίσης: Το Κοινοβούλιο της Αλβανίας διακόπηκε προσωρινά μετά από Κυβερνοεπίθεση

Το QEMU είναι ένας δωρεάν εξομοιωτής και hypervisor, που σας επιτρέπει να εκτελέσετε άλλα λειτουργικά συστήματα ως επισκέπτες σε έναν υπολογιστή.

Οι χάκερς χρησιμοποίησαν το QEMU στις κυβερνοεπιθέσεις, για να δημιουργήσουν εικονικές δικτυακές διεπαφές και μία δικτυακή συσκευή υποδοχής για να συνδεθούν με ένα απομακρυσμένο διακομιστή. Αυτό τους επέτρεψε να δημιουργήσουν ένα δίαυλο δικτύου από το σύστημα του θύματος στον διακομιστή τους, με ελάχιστες επιπτώσεις στην απόδοση του συστήματος.

Αυτή η ασυνήθιστη περίπτωση, η οποία αναδεικνύει τις ποικίλες μεθόδους που χρησιμοποιούν οι επιτιθέμενοι για να παραμείνουν αόρατοι, ανακαλύφθηκε από αναλυτές της Kaspersky που κλήθηκαν να ερευνήσουν ύποπτη δραστηριότητα στα συστήματα της εταιρείας που είχαν υποστεί παραβίαση.

Αόρατοι δίαυλοι δικτύου

Οι χάκερς δημιουργούν διάυλους δικτύου για να καθιερώσουν ένα αόρατο και ασφαλές κανάλι επικοινωνίας μεταξύ των ίδιων και ενός παραβιασμένου συστήματος. Συνήθως, αυτά τα κανάλια κρυπτογραφούν την κυκλοφορία δικτύου για να βοηθήσουν στην αντιμετώπιση των firewalls, συστημάτων ανίχνευσης διείσδυσης και άλλων μέτρων ασφαλείας.

Σύμφωνα με την Kaspersky, στο 10% των περιπτώσεων που εξέτασε τα τελευταία τρία χρόνια, οι χάκερ χρησιμοποίησαν τα εργαλεία FRP και ngrok για τη δημιουργία καναλιών επικοινωνίας. Άλλα εργαλεία που χρησιμοποιήθηκαν σε επιθέσεις περιλαμβάνουν τα CloudFlare tunnels, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox και nps.

Εξαιτίας της συχνής κατάχρησής τους από κυβερνοεγκληματίες, οι ερευνητές ασφαλείας και τα εργαλεία παρακολούθησης αντιμετωπίζουν αυτά τα εργαλεία με υποψία.

Σε αυτή την ασυνήθιστη περίπτωση που αφορά το QEMU, οι επιτιθέμενοι αποφάσισαν να εκμεταλλευτούν ένα λιγότερο συμβατικό εργαλείο για τις κυβερνοεπιθέσεις τους, ώστε να δημιουργήσουν δικτυακά κανάλια που δεν θα προκαλούσαν υποψίες, ακόμη κι αν αυτό σήμαινε να εγκαταλείψουν την κρυπτογράφηση της κίνησης.

Δείτε ακόμα: Κυβερνοεπίθεση κλείνει το γραφείο δημόσιας υπεράσπισης του Κολοράντο

Επιπλέον, το QEMU προσφέρει μοναδικές δυνατότητες, όπως η εξομοίωση μιας ευρείας γκάμας υλικού και εικονικών δικτύων, επιτρέποντας σε κακόβουλες δραστηριότητες να αναμειγνύονται με αθώα εικονική κυκλοφορία, και να γεφυρώνουν διακριτά τμήματα δικτύου μέσω στρατηγικά διαμορφωμένων σημείων εικονικών μηχανών.

Οι επιτιθέμενοι προσπάθησαν να διατηρήσουν το αποτύπωμά τους όσο το δυνατόν πιο μικρό, διαθέτοντας μόνο 1MB RAM στην εικονική μηχανή που δημιούργησαν, μειώνοντας σημαντικά τις πιθανότητες ανίχνευσης μέσω της κατανάλωσης πόρων.

Η διαμόρφωση της εικονικής μηχανής, η οποία ξεκίνησε χωρίς τη χρήση ενός LiveCD ή εικόνας δίσκου, περιλαμβάνει τα ακόλουθα επιχειρήματα:

  • -netdev user,id=lan,restrict=off: Διαμορφώνει ένα backend με το όνομα ‘lan‘ σε λειτουργία χρήστη, επιτρέποντας απεριόριστη πρόσβαση στο δίκτυο, μέσω του δικτύου του υπολογιστή οικοδεσπότη.
  • -netdev socket,id=sock,connect=<IP>:443: Δημιουργεί μια σύνδεση socket σε μια καθορισμένη διεύθυνση IP στη θύρα 443, δημιουργώντας έναν άμεσο δικτυακό σύνδεσμο για το υποστηρικτικό ‘sock‘.
  • -netdev hubport,id=port-lan,hubid=0,netdev=lan/sock: Συνδέει μια συσκευή δικτύου (είτε lan είτε sock) σε ένα εικονικό κέντρο hubid=0, διευκολύνοντας τη συνδεσιμότητα δικτύου μεταξύ διαφορετικών backend.
  • -nographic: Εκτελεί το QEMU χωρίς γραφικό περιβάλλον, επιλέγοντας μόνο τη διαδραστικότητα μέσω της γραμμής εντολών, μειώνοντας την ορατότητά του και το αποτύπωμα πόρων, διευκολύνοντας τις κυβερνοεπιθέσεις.

Σύμφωνα με την Kaspersky, οι επιχειρήσεις θα πρέπει να υιοθετήσουν πολυεπίπεδη προστασία για να ανιχνεύσουν τη χρήση νόμιμων εργαλείων όπως αυτό, συμπεριλαμβανομένης της 24ωρης παρακολούθησης δικτύου, η οποία ενδέχεται να βρίσκεται εκτός του οικονομικού εύρους πολλών μικρών επιχειρήσεων.

Δείτε επίσης: Αυστραλία: Δικαστική υπηρεσία επηρεάστηκε από κυβερνοεπίθεση

Πώς επηρεάζουν οι κυβερνοεπιθέσεις τις επιχειρήσεις και τους ατομικούς χρήστες;

Οι κυβερνοεπιθέσεις μπορούν να έχουν σημαντικές επιπτώσεις σε επιχειρήσεις και ατομικούς χρήστες. Αρχικά, μπορούν να προκαλέσουν οικονομικές απώλειες, καθώς τα δεδομένα και οι πληροφορίες που κλέβονται ή καταστρέφονται μπορεί να έχουν μεγάλη αξία. Επιπλέον, οι κυβερνοεπιθέσεις μπορούν να προκαλέσουν διαρροή ευαίσθητων πληροφοριών, όπως προσωπικά δεδομένα, τα οποία μπορούν να χρησιμοποιηθούν για παράνομους σκοπούς. Οι κυβερνοεπιθέσεις μπορούν επίσης να προκαλέσουν διακοπή των υπηρεσιών ή των λειτουργιών μιας επιχείρησης, καθώς οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση στα συστήματα και να τα απενεργοποιήσουν ή να τα καταστρέψουν. Τέλος, οι κυβερνοεπιθέσεις μπορούν να προκαλέσουν ζημιά στην εικόνα και την φήμη μιας επιχείρησης.

Πηγή: bleepingcomputer