Des cyber-attaquants exploitent QEMU pour créer des tunnels réseau furtifs
Ces derniers temps, des acteurs malveillants ont utilisé des techniques innovantes pour infiltrer les systèmes et les réseaux. L'une d'entre elles consiste à utiliser abusivement l'émulateur matériel open-source QEMU comme outil de tunnelisation lors de cyber-attaques. Les auteurs de la menace ont créé des interfaces réseau virtuelles et un périphérique réseau de type socket à l'aide de QEMU pour faciliter la connexion à un serveur distant. Cette tactique a permis d'établir un tunnel réseau entre le système de la victime et le serveur de l'attaquant avec un impact minimal sur les performances du système.
QEMU comme outil de tunneling
Les chercheurs de Kaspersky Grigory Sablin, Alexander Rodchenko et Kirill Magaskin ont fait la lumière sur cette nouvelle tendance, révélateur comment les acteurs de la menace ont capitalisé sur les caractéristiques de QEMU pour établir des canaux de communication clandestins au sein des réseaux cibles. En utilisant le -netdev
Les adversaires peuvent établir des connexions entre les machines virtuelles, contournant ainsi les mesures de sécurité traditionnelles.
Le tunneling est la technique utilisée pour encapsuler et transférer des paquets de données entre deux points d'extrémité du réseau, généralement via un réseau intermédiaire qui peut ne pas prendre en charge le protocole d'origine utilisé. En créant un "tunnel" virtuel dans l'architecture du réseau existant, les données peuvent passer par le réseau intermédiaire de manière privée et sécurisée.
L'équipe de Kaspersky a indiqué qu'elle avait pu créer un tunnel réseau entre un hôte pivot connecté à Internet et un hôte interne qui n'est pas connecté à Internet au sein du réseau de l'entreprise. Le tunnel se poursuit jusqu'au serveur en nuage de l'attaquant, qui exécute l'émulateur QEMU. Grâce à cette architecture secrète, les acteurs de la menace peuvent dissimuler leurs activités nuisibles dans le trafic réseau légitime, ce qui représente un défi difficile à détecter et à atténuer pour les spécialistes de la cybersécurité.
Selon Kaspersky, les outils de tunnelisation les plus utilisés par les pirates sont FRP et ngrok, qui représentent 10 % du total des attaques au cours des trois dernières années. Parmi les autres outils utilisés pour créer des tunnels figurent les tunnels CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox et nps. Cependant, avec QEMU, les attaquants ont opté pour une approche moins conventionnelle de la création de tunnels réseau, privilégiant la furtivité au chiffrement du trafic.
Conclusion
L'idée d'utiliser des outils fiables à des fins malveillantes n'est pas nouvelle dans le domaine de la cybersécurité. En revanche, l'utilisation de QEMU comme programme de tunnelisation témoigne d'une avancée significative dans la complexité des cyberattaques. Les organisations doivent donc rester vigilantes et proactives pour renforcer leurs défenses contre des vecteurs d'attaque en constante évolution.
Pour sécuriser vos systèmes de virtualisation basés sur QEMU, vous pouvez utiliser la solution QEMUCare live patching qui peut automatiquement patcher vos infrastructures sans avoir besoin de redémarrer ou de migrer les machines virtuelles.
Les sources de cet article comprennent un article de BleepingComputer.