Felhős célpontok előnyben
A VoidLink különösen a felhőalapú környezetekben szeret működni: felismeri az AWS, a GCP, az Azure, az Alibaba és a Tencent szervereit, de várhatóan hamarosan a Huawei, a DigitalOcean és a Vultr rendszereit is célba veszi. Az áldozat környezetét az adott szolgáltatók API-ján keresztül deríti fel. A cél a tartós, rejtett jelenlét a feltört, Linux-alapú felhő- vagy konténeres rendszerekben – a VoidLink ehhez professzionális szintű, gyakran csak szervezett kiberbűnözői csoportokra jellemző tervezéssel és beruházással készül. Mindez azt jelenti, hogy a védekező felek sokszor nem is érzékelik, mikor válik az infrastruktúrájuk egy ilyen támadás részévé.
Kínai kötődés és folyamatos fejlesztés
A VoidLink kezelőfelülete a kínai operátorokra optimalizált, a forráskód megjegyzései és szimbólumai is erős kínai kapcsolatra utalnak. A fejlesztés még folyamatban van: eddig nem találtak fertőzött gépeket, és a keretrendszerre csupán frissen azonosított, linuxos kártevőkben bukkantak.
Az eszköztár legjava: kétfázisú betöltő, beépülőkkel bővíthető modulok (összesen 37), felhő- és konténerfelismerés, biztonsági megoldások kijátszása, rootkites funkciók, fejlett parancs- és vezérlőrendszer, valamint analízisellenes képességek. Emellett a VoidLink képes SSH-kulcsokat, jelszavakat, böngészős sütiket, Git-hitelesítőket, API-kulcsokat és más érzékeny adatokat is összegyűjteni.
Mire számíthatunk?
Mivel nincs bizonyíték aktív támadásokra, a védekezőknek egyelőre nem kell azonnali lépéseket tenniük, de a Linux-rendszereken dolgozóknak érdemes fokozottan odafigyelni a szokatlan aktivitásra.
