Professzionális kémhadsereg a felhőben
A VoidLink leginkább abban tér el a legtöbb kártékony szoftvertől, hogy kifejezetten Linux-alapú felhős környezetekben működik. Célpontjai az Amazon AWS, a Google Cloud Platform, a Microsoft Azure, az Alibaba és a Tencent, de hamarosan a Huawei, a DigitalOcean és a Vultr támogatása is várható. Ez különösen veszélyessé teszi: ma már kormányzati szervezetek, világcégek és kritikus infrastruktúrák is a felhőben tárolják legbizalmasabb adataikat és rendszereiket, ezért az ilyen kártékony programok – akár államilag támogatott kémkedésre, akár zsarolóvírus-bűnszervezeteknek – aranybányát jelenthetnek.
A láthatatlan támadás eszköztára
A VoidLink nemcsak a felhőrendszerek észlelésében jeleskedik. Egyedi betöltők, implantátumok, rootkitek, valamint legalább 37 modul segítik a támadót: kernelszintű rootkitekből is többet tartalmaz, és mindig a környezethez igazítva telepít. Ezek a rootkitek elrejtik a fertőzés összes nyomát: eltakarják a folyamatait, fájljait, sőt a saját komponenseit is.
API-ját a Cobalt Strike Beacon API ihlette, amely a professzionális támadások egyik kedvence.
A bővítmények között van felderítést végző, jogosultságot emelő, konténerekből való kitörést ellenőrző, hitelesítési adatokat eltulajdonító, vagy SSH-alapú féreg is, amellyel további rendszerekbe tud átjutni. Tartalmaz posztexploitációs modulokat, perzisztenciát biztosító eszközöket, valamint forenzikai nyomok eltüntetésére szolgáló komponenseket is – azaz képes törölni vagy módosítani a naplókat, illetve a parancssor előzményeit.
Felderítés helyett csendes, hosszú távú lopás
A VoidLink célja nem a látványos rombolás, hanem a hosszú távú rejtőzködés, adatgyűjtés és megfigyelés. Amint valaki észleli vagy vizsgálja, képes önmagát eltüntetni a gépről, és elmosni minden nyomot. A fejlesztés komolysága alapján egyértelmű, hogy nem amatőr támadókról van szó – inkább hivatásos, jól szervezett szereplőkre, akár állami támogatásra utal a háttér. Így azok a rendszergazdák, akik csak utólag vennék észre a fertőzést, lehet, hogy soha nem jönnek rá: infrastruktúrájukat már rég titokban átvették.
