Az új VoidLink kártevő rejtve csap le a Linux-szerverekre

Egy fejlett, kifejezetten felhőalapú Linux-környezetekre fejlesztett kártékony szoftver, a VoidLink jelent meg a színen. Ez a keretrendszer egyedi betöltőket, implantátumokat, rootkiteket és bővítményeket kínál a támadóknak, amelyek tökéletesen illeszkednek a modern infrastruktúrákhoz. A VoidLinket Zig, Go és C nyelveken fejlesztik; a kód arra utal, hogy aktív fejlesztés alatt áll, ráadásul kiterjedt dokumentációja is van, ami arra enged következtetni, hogy akár kereskedelmi terjesztésre is szánhatják. A VoidLink képes érzékelni, ha Kubernetes- vagy Docker-környezetben fut, és ehhez igazítja működését. Bár jelenleg nem ismertek aktív fertőzések, ez is alátámasztja azt a feltételezést, hogy a kártevőt vagy eladásra, vagy egy megrendelő számára fejlesztették ki, nem általános támadási hullámra. A fejlesztésért minden bizonnyal kínai anyanyelvű programozók felelnek, amit az interfész nyelve és a lokalizációs optimalizációk is mutatnak.

Professzionális támadóeszköz felhőre szabva

A VoidLink egy moduláris keretrendszer, amellyel a támadók észrevétlenül uralhatnak és kiaknázhatnak Linux rendszereket, testre szabható bővítményekkel pedig bármilyen felhő- vagy konténeres környezethez alkalmazkodik. Aktiválás után az implantátum felderíti, hogy Dockerben vagy Kubernetesben fut-e, majd információkat gyűjt többek között AWS-, GCP-, Azure-, Alibaba-, Tencent– és a jövőben Huawei-, DigitalOcean-, Vultr-instanciákról is.

Rendszerinformációk, kernelverzió, hipervizor, folyamatok és hálózati állapot mellett keres biztonsági és monitorozóeszközöket, keményítési beállításokat. Az összegyűjtött adatokból és az ezekre épülő kockázati pontszámból kiindulva a támadó hatékonyan módosíthatja a további modulok működését – például lassabb portszkennelésre vagy ritkább kommunikációra váltva.

Rejtve, de teljes kontrollal

A VoidLink kommunikációja több csatornán (HTTP, WebSocket, DNS-alagutazás, ICMP) történik, mindezt egyedi, titkosított rétegen keresztül, amely a hétköznapi API- vagy webes forgalmat utánozza. A beépülő ELF-bővítmények közvetlenül a memóriából futnak, és a keretrendszer API-jait rendszerhívásokon keresztül használják. Alapértelmezett konfigurációban 35 bővítmény érhető el, melyek között megtalálható a rendszergazdai felderítés, a hitelesítő adatok (SSH, Git, API-kulcsok, böngészőadatok) gyűjtése, az oldalirányú mozgás, a perzisztencia, a logtörlés, az időbélyeg-manipuláció is.

A titkos műveletekhez rootkit-modulok támogatják a folyamatok, fájlok, hálózati csatlakozások vagy maga a rootkit eltakarását. A kernel verziójától függően LD_PRELOAD-trükkök, moduláris kernelbővítmények vagy eBPF-alapú rootkitek is bevethetők. A VoidLink a debuggert is észleli, futás közben kódtitkosítást és integritás-ellenőrzést alkalmaz, hogy még elemzés közben is védje magát.

Ha manipulációt érzékel, az implantátum önmegsemmisíti magát, a logtörlő modulok pedig minden nyomot eltüntetnek a rendszerből. Ez jelentősen megnehezíti a nyomozók dolgát. A VoidLink fejlesztői kimagasló szaktudással dolgoznak, több programnyelvet használnak, a keretrendszer pedig jóval kifinomultabb, mint a legtöbb Linux-kártevő.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media