Charles Carmakal, CTO, Mandiant Consulting, Google Cloud explique : « UNC3886 est l’un des espions chinois les plus ingénieux que l’on puisse voir de nos jours. Ils disposent d’une sécurité opérationnelle solide et sont très difficiles à détecter dans les environnements des victimes. Ils surveillent les articles de blog Mandiant qui décrivent leur savoir-faire et se réoutillent rapidement pour échapper à la détection. Ils essaient de limiter le déploiement de leurs logiciels malveillants aux systèmes des victimes qui ne prennent pas en charge les solutions de détection et de réponse aux end-points (EDR), ce qui rend très difficile la détection de leurs intrusions par les organisations. Ils ont réussi à compromettre des organisations de défense, de technologie et de télécommunications dotées de programmes de sécurité matures ».
Mandiant met l’accent sur les tactiques et les méthodologies permettant aux organisations de détecter et de répondre à ce type d’attaque, quel que soit le logiciel malveillant déployé ou les commandes exécutées. La vulnérabilité permet à un pirate d’exécuter n’importe quelle commande sur une VM invitée à partir de l’hyperviseur, sans avoir besoin du mot de passe administrateur/root de la VM invitée. Attention, le pirate doit d’abord avoir accès à l’hyperviseur pour y parvenir (par exemple, en dérobant les informations d’identification de l’hyperviseur). D’un point de vue légal, ces processus sont créés par un exécutable VMware légitime et signé numériquement (par exemple, vmtoolsd.exe sur les machines virtuelles invitées Windows).
En outre, le groupe UNC3886 a abusé des sockets VMCI. Une fois qu’ils ont déployé une porte dérobée VMCI sur un hyperviseur, ils peuvent se reconnecter à la porte dérobée directement à partir de n’importe quelle machine invitée qu’elle exécute, indépendamment de la connectivité réseau ou des configurations VLAN. Une fois que les attaquants ont à nouveau accès à l’hôte ESXI avec la porte dérobée, ils peuvent exécuter n’importe quelle commande ou transférer des fichiers vers/depuis n’importe quelle autre machine virtuelle invitée. Cette recherche sur les menaces est vraiment importante car il n’existe pas de solutions EDR pour les hyperviseurs VMware et, par conséquent, la plupart des organisations ne recherchent pas activement des preuves de compromission sur ces systèmes.