Cercetătorii au descoperit recent un cadru de lucru malware, denumit VoidLink, destinat sistemelor Linux, care se remarcă prin complexitatea și varietatea modulelor sale. Acesta include peste 30 de module diferite, fiecare proiectat să satisfacă nevoile atacatorilor pentru fiecare sistem infectat în parte. Modulele oferite permit realizarea de misiuni de recunoaștere, escaladarea privilegiilor și mișcarea laterală în rețele compromise, toate cu un grad sporit de discreție.
VoidLink are capacitatea de a ținti mașini găzduite în servicii cloud populare precum AWS, GCP, Azure, Alibaba și Tencent, detectând dacă sistemul infectat este găzduit în interiorul acestora prin examinarea metadatelor cu API-ul furnizorului respectiv. De asemenea, există indicii că dezvoltatorii intenționează să extindă aceste detectări și pentru Huawei, DigitalOcean și Vultr în viitoarele versiuni.
Comparativ cu cadrele de lucru similare care vizează serverele Windows, astfel de instrumente sunt mai puțin comune pe sistemele Linux. Setul de funcții oferit de VoidLink este neobișnuit de vast și „mult mai avansat decât malware-ul Linux tipic”, conform cercetătorilor de la Checkpoint, firma de securitate care a descoperit VoidLink. Crearea acestuia poate indica faptul că atenția atacatorilor se extinde din ce în ce mai mult spre sistemele Linux, infrastructurile cloud și mediile de desfășurare a aplicațiilor, pe măsură ce organizațiile își transferă sarcinile de lucru către aceste medii.
„VoidLink reprezintă un ecosistem complex destinat să mențină un acces discret și pe termen lung la sistemele Linux compromise, în special cele care funcționează pe platforme publice cloud și în medii containerizate”, au spus cercetătorii într-o postare separată. „Designul său reflectă un nivel de planificare și investiție asociat de obicei cu actorii de amenințare profesioniști, nu cu atacatorii oportuniști, crescând mizele pentru apărătorii care poate nici nu își dau seama că infrastructura lor a fost preluată în tăcere.”
Interfața VoidLink este localizată pentru operatorii afiliați chinezilor, ceea ce indică faptul că probabil provine dintr-un mediu de dezvoltare afiliat Chinei. Simbolurile și comentariile din codul sursă sugerează că VoidLink este încă în curs de dezvoltare. Un alt semn că acest cadru nu este încă finalizat este faptul că cercetătorii de la Checkpoint nu au găsit indicii că ar fi infectat vreo mașină în mediul real. Aceștia l-au descoperit luna trecută într-o serie de clustere de malware Linux disponibile prin VirusTotal.
Incluzând un loader în două etape, implantul final are module de bază încorporate care pot fi augmentate de plugin-uri descărcate și instalate în timpul execuției. Capabilitățile celor 37 de module descoperite până acum sunt diverse și sofisticate.
Deși nu există indicii că VoidLink vizează activ mașinile, nu este necesară o acțiune imediată din partea apărătorilor, deși rămâne esențială vigilanța continuă.
Poll: Care este cel mai preocupant aspect al cadru malware VoidLink, conform informațiilor prezentate în articol?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply