פושעי סייבר ממציאים כל הזמן דרכים חדשות לגניבת מידע יקר ושימוש בהם לטובתם. נתונים הם בעלי ערך עצום בשווקים אפלים, ושחקן זדוני יחיד עלול להרוויח מיליונים ממכירת מידע שנרכש באופן בלתי חוקי. חטיפת יתר היא שיטה בלתי חוקית נוספת שניתן להשתמש בה כדי לרגל אחר קורבנות, לשלוט במכשירים ולגנוב מידע יקר ערך. אז מה זה היפר-ג'ק, ואיך אתה יכול להישאר בטוח מפני זה?

מה זה Hyperjacking?

היפר-jacking כרוך בפשרה ובשליטה בלתי מורשית של מכונה וירטואלית (VM). לכן, לפני שנדון בפירוט ב-hyperjacking, נצטרך להבין תחילה מהי מכונה וירטואלית.

מהי מכונה וירטואלית?

מכונה וירטואלית היא בדיוק זה: מכונה לא פיזית שמשתמשת בתוכנת וירטואליזציה במקום בחומרה כדי לתפקד. למרות שמכונות וירטואליות חייבות להתקיים על פיסת חומרה, הן פועלות באמצעות רכיבים וירטואליים (כגון מעבד וירטואלי).

היפרוויזורים מהווים את עמוד השדרה של מכונות וירטואליות. אלו הן תוכנות שאחראיות ליצירה, הפעלה וניהול של מחשבי VM. היפרוויזר יחיד יכול לארח מספר מכונות וירטואליות, או מספר מערכות הפעלה אורחות, בו-זמנית, מה שמעניק לה גם את השם החלופי של מנהל מכונות וירטואליות (VMM).

instagram viewer

ישנם שני סוגים של היפרוויזורים. הראשון ידוע בתור "מתכת חשופה" או "יליד", כאשר השני הוא היפרוויזר "מארח". מה שכדאי לשים לב אליו הוא שה-hypervisors של מכונות וירטואליות הם היעדים להתקפות היפר-ג'ינג (ומכאן המונח "hyper-jacking").

המקורות של היפר-ג'ינג

באמצע שנות ה-2000, חוקרים מצאו כי חטיפת יתר היא אפשרות. בזמנו, התקפות חטיפת יתר היו תיאורטיות לחלוטין, אבל האיום שאחת תתבצע תמיד היה שם. ככל שהטכנולוגיה מתקדמת ופושעי סייבר הופכים ליצירתיים יותר, הסיכון להתקפות חטיפת יתר עולה משנה לשנה.

למעשה, בספטמבר 2022 החלו לעלות אזהרות על התקפות חטיפת יתר אמיתיות. שניהם אזהרות Mandiant ו-VMWare פרסמו ציינו שהם מצאו שחקנים זדוניים שמשתמשים בתוכנה זדונית כדי לבצע התקפות חטיפת יתר בטבע באמצעות גרסה מזיקה של תוכנת VMWare. במיזם זה, שחקני האיומים הכניסו קוד זדוני משלהם בתוך ה-hypervisors של הקורבנות תוך עקיפת אמצעי האבטחה של מכשירי היעד (בדומה ל-rootkit).

באמצעות ניצול זה, ההאקרים המדוברים הצליחו להריץ פקודות על המכשירים המארחים של המכונות הוירטואליות ללא זיהוי.

כיצד פועלת התקפת היפר-חטיפה?

היפרוויזורים הם היעד המרכזי של התקפות חטיפת יתר. בהתקפה טיפוסית, ה-hypervisor המקורי יוחלף באמצעות התקנה של hypervisor זדוני וסורר שלשחקן האיום יש שליטה עליו. על ידי התקנת Hypervisor נוכל תחת המקור, התוקף יכול אפוא להשיג שליטה על ה-Hypervisor הלגיטימי ולנצל את ה-VM.

על ידי שליטה על ה-Hypervisor של מכונה וירטואלית, התוקף יכול, בתורו, להשיג שליטה על כל שרת ה-VM. זה אומר שהם יכולים לתפעל כל דבר במכונה הוירטואלית. במתקפת חטיפת ההיפר המוזכרת לעיל שהוכרזה בספטמבר 2022, נמצא כי האקרים השתמשו בחטיפת יתר כדי לרגל אחר קורבנות.

בהשוואה לטקטיקות אחרות של פשעי סייבר פופולריים כמו דיוג ותוכנות כופר, חטיפת יתר אינה נפוצה מאוד כרגע. אבל עם השימוש הראשון המאושר בשיטה זו, חשוב שתדע איך לשמור על בטיחות המכשירים שלך והנתונים שלך.

כיצד להימנע מ-Hyperjacking

למרבה הצער, נמצא ש-hyperjacking מתחמק מאמצעי אבטחה מסוימים הקיימים במכשיר שלך. אבל זה לא אומר שאתה עדיין לא צריך להשתמש ברמות גבוהות של הגנה כדי להוריד את הסיכוי של תוקף למקד את ה-hypervisor שלך.

כמובן, אתה תמיד צריך לוודא שהמכונה הוירטואלית שלך מצוידת היטב בשכבות שונות של אבטחה. לדוגמה, אתה יכול לבודד כל אחת מהמכונות הווירטואליות שלך באמצעות חומת אש, וודא שלמכשיר המארח שלך יש הגנת אנטי וירוס נאותה.

עליך גם לוודא שה-Hypervisor שלך יתוקן באופן קבוע כך ששחקנים זדוניים לא יוכלו לנצל באגים ופגיעויות בתוכנה. זוהי אחת הדרכים הנפוצות ביותר שבאמצעותן פושעי סייבר מבצעים התקפות, ולעיתים הם עלולים לגרום נזק רב לפני שספק התוכנה הופך מודע לליקוי האבטחה.

עליך להגביל גם את המכשירים שאליהם יש למחשב הוירטואלי שלך גישה. כאשר תוקף משיג שליטה על מכונה וירטואלית, הוא עשוי להשתמש בו כדי לגשת לחומרה אחרת, כגון המכשיר המארח. נסה לא לקשר את ה-VM שלך למכשירים מיותרים כדי למנוע מתוקף לנצל אותו עוד יותר אם נפגע.

חטיפת יתר עשויה להפוך לבעיה משמעותית בעתיד הקרוב

למרות שפריצת היפר נראית חדשה יחסית כטקטיקת פשעי סייבר מיומנת, יש סיכוי טוב שהיא השכיחות תתחיל לגדול בקרב קבוצות האקרים המבקשות לנצל מכונות, לרגל אחר קורבנות ולגנוב נתונים. לכן, אם יש לך מכונות וירטואליות אחת או יותר, ודא שאתה מגן עליהן ככל האפשר כדי למנוע נפילה קורבן להתקפת חטיפת יתר.