Un grupo de ciberespionaje desarrolla puertas traseras adaptadas a los hipervisores VMware ESXi
Un posible nuevo actor de amenazas ha empaquetado y desplegado ‘backdoors’ como vSphere Installation Bundles, obteniendo capacidades de ejecución remota de código y persistencia.
- El periodismo, en amenaza constante por los grupos de ciberespionaje
- El ‘malware’ común se perfila como la principal ciberamenaza para las empresas
- Las vulnerabilidades del ‘software’ suponen un riesgo para la infraestructura de la red
- Los ciberespías iraníes utilizan la suplantación de varias personas en ataques de ‘phishing’
- La hiperconectividad IoT y la obsolescencia, en la diana de los ciberataques en el sector industrial
Un grupo de investigadores han identificado una nueva familia de malware que fue diseñada para crear puertas traseras y persistir en los servidores VMware ESXi aprovechando la funcionalidad legítima que soporta el software del hipervisor. Según los investigadores de Mandiant que encontraron y analizaron las puertas traseras, éstas fueron empaquetadas y desplegadas en servidores infectados como vSphere Installation Bundles (VIB). Los VIB son paquetes de software utilizados para distribuir componentes que amplían la funcionalidad de VMware ESXi. Los VIBs maliciosos proporcionaban a los hackers capacidades de ejecución de comandos remotos y de persistencia en los servidores y la capacidad de ejecutar comandos en las máquinas virtuales invitadas que se ejecutaban en los servidores.
Detección difícil
Por defecto, VMware ESXi está configurado para aceptar sólo la instalación de VIB que sean VMWareCertified, VmwareAccepted, o PartnerSupported. En estos niveles de aceptación, los paquetes deben estar firmados digitalmente por VMware o por un socio en cuya firma confía VMware. Sin embargo, hay un cuarto nivel de aceptación llamado CommunitySupported en el que los VIB no necesitan ser firmados digitalmente. El inconveniente es que estos paquetes deben ser desplegados por un administrador utilizando intencionadamente el indicador -force en el comando de instalación a través de la herramienta de línea de comandos esxcli.
Los VIB maliciosos encontrados por Mandiant tenían su archivo de manifiesto modificado para indicar "socio" como nivel de aceptación, pero en realidad no tenían firma digital y habían sido desplegados usando el comando -force. Esto significa que los atacantes ya tenían acceso de nivel administrativo a los servidores antes de desplegarlos, por lo que se trataba de una carga útil de última hora.
Uno de los efectos de la inclusión de "partner" como fuente en el manifiesto de los VIB falsos era que aparecían listados como PartnerSupported cuando se utilizaba el comando "esxcli software vib list" cuando en realidad no lo eran. Este descuido en el comando que simplemente muestra lo que dice el manifiesto, ayudó a los atacantes a ocultar mejor sus puertas traseras a los administradores. Para descubrirlas, los administradores habrían tenido que utilizar el comando "esxcli software vib signature verify" que habría verificado la firma digital de todas las VIB desplegadas en sus servidores.
Hipervisor y máquina virtual
Además de un archivo de manifiesto y un archivo de firma, los VIB incluyen una colección de archivos y directorios que se copiarán en el sistema. Uno de estos archivos era un backdoor pasivo que utilizaba los nombres de servicio de VMware para ocultarse y escuchaba el tráfico en un número de puerto codificado en el servidor ESXi. El backdoor, que se denominaba VIRTUALPITA, podía realizar la ejecución de comandos arbitrarios, cargar y descargar archivos, e iniciar y detener vmsyslogd, el servicio de ESXi responsable de registrar los mensajes del núcleo del sistema y otros componentes. "Durante la ejecución de comandos arbitrarios, el malware también establece la variable ambiental HISTFILE a 0 para ocultar aún más la actividad que se produjo en la máquina", aseguraron los investigadores de Mandiant. "Se descubrió que las variantes de este malware escuchan a través de una interfaz de comunicación de máquina virtual (VMCI) y registran esta actividad en el archivo sysclog". La VMCI de VMware es la interfaz de comunicación de alta velocidad a través de la cual las máquinas virtuales se comunican con el núcleo del host.
Dos muestras de VIRTUALPITA encontradas en sistemas Linux vCenter se hacían pasar por servicios de inicio en init.d -un mecanismo de inicio en Linux- y su nombre de archivo se disfrazaba como ksmd (Kernel Same-Page Merging Daemon), un servicio del kernel por defecto, en los directorios /usr/libexec/setconf/ y /usr/bin. Los investigadores también encontraron un backdoor secundario en los VIB maliciosos que denominaron VIRTUALPIE. Este programa de puerta trasera estaba escrito en Python y escuchaba el tráfico IPv6 en el puerto 546. Los atacantes podían utilizar esta puerta trasera para ejecutar comandos arbitrarios, transferir archivos y abrir un shell inverso. Las comunicaciones a través del puerto se realizaban mediante un protocolo personalizado que utilizaba cifrado RC4.
Por último, algunos ataques incluían una tercera puerta trasera denominada VIRTUALGATE que estaba escrita para Windows y se desplegaba en las máquinas virtuales invitadas que se ejecutaban en los servidores ESXi comprometidos. Esta puerta trasera permite a los atacantes ejecutar comandos en la máquina virtual invitada desde el hipervisor o entre diferentes máquinas virtuales invitadas que se ejecutan en el mismo host a través del VMCI.
Los investigadores observaron que los atacantes utilizaban VIRTUALPITA para ejecutar un script de shell que lanzaba un script de Python que luego ejecutaba comandos en las máquinas virtuales invitadas. En las máquinas virtuales, los comandos eran ejecutados por el servicio legítimo VMware Tools (vmtoolsd.exe). En uno de los casos, los comandos consistían en listar archivos de determinados directorios y empaquetarlos como archivos CAB, y en otro caso los atacantes utilizaban la utilidad MiniDump para volcar la memoria de un proceso y buscar en ella credenciales en texto plano.
Mandiant no ha vinculado estos ataques a ningún grupo conocido, por lo que los rastrea bajo un nuevo identificador de grupo llamado UNC3886. "Dada la naturaleza altamente selectiva y evasiva de esta intrusión, sospechamos que la motivación de UNC3886 está relacionada con el ciberespionaje", dijeron los investigadores. "Además, evaluamos con poca confianza que UNC3886 tiene un nexo con China". Aunque todavía no hay muchos incidentes en los que se haya utilizado el malware VIB para comprometer servidores ESXi, Mandiant espera que otros grupos de amenazas copien esta técnica en el futuro.
VMware recomienda activar el arranque seguro de UEFI
VMware ha publicado un aviso en respuesta a los hallazgos de Mandiant, así como un script de PowerShell que puede utilizarse para buscar VIB maliciosos en el entorno. Sin embargo, la recomendación principal es habilitar UEFI Secure Boot en el sistema, que proporciona una atestación criptográfica de los componentes desde el principio del proceso de arranque. "Cuando se habilita Secure Boot se bloquea el uso del nivel de aceptación 'CommunitySupported', impidiendo que los atacantes instalen VIB no firmados o firmados incorrectamente (incluso con el parámetro -force como se indica en el informe)", afirma VMware en su guía. "vSphere 8 da un paso más y evita la ejecución de binarios sin firmar, o binarios instalados a través de medios distintos a un VIB debidamente firmado. Los esfuerzos por desactivar esa función por parte de los atacantes generan alarmas de ESXi imperdibles como indicios de que algo está sucediendo en un entorno”.
