Professzionális támadóeszköz felhőre szabva
A VoidLink egy moduláris keretrendszer, amellyel a támadók észrevétlenül uralhatnak és kiaknázhatnak Linux rendszereket, testre szabható bővítményekkel pedig bármilyen felhő- vagy konténeres környezethez alkalmazkodik. Aktiválás után az implantátum felderíti, hogy Dockerben vagy Kubernetesben fut-e, majd információkat gyűjt többek között AWS-, GCP-, Azure-, Alibaba-, Tencent– és a jövőben Huawei-, DigitalOcean-, Vultr-instanciákról is.
Rendszerinformációk, kernelverzió, hipervizor, folyamatok és hálózati állapot mellett keres biztonsági és monitorozóeszközöket, keményítési beállításokat. Az összegyűjtött adatokból és az ezekre épülő kockázati pontszámból kiindulva a támadó hatékonyan módosíthatja a további modulok működését – például lassabb portszkennelésre vagy ritkább kommunikációra váltva.
Rejtve, de teljes kontrollal
A VoidLink kommunikációja több csatornán (HTTP, WebSocket, DNS-alagutazás, ICMP) történik, mindezt egyedi, titkosított rétegen keresztül, amely a hétköznapi API- vagy webes forgalmat utánozza. A beépülő ELF-bővítmények közvetlenül a memóriából futnak, és a keretrendszer API-jait rendszerhívásokon keresztül használják. Alapértelmezett konfigurációban 35 bővítmény érhető el, melyek között megtalálható a rendszergazdai felderítés, a hitelesítő adatok (SSH, Git, API-kulcsok, böngészőadatok) gyűjtése, az oldalirányú mozgás, a perzisztencia, a logtörlés, az időbélyeg-manipuláció is.
A titkos műveletekhez rootkit-modulok támogatják a folyamatok, fájlok, hálózati csatlakozások vagy maga a rootkit eltakarását. A kernel verziójától függően LD_PRELOAD-trükkök, moduláris kernelbővítmények vagy eBPF-alapú rootkitek is bevethetők. A VoidLink a debuggert is észleli, futás közben kódtitkosítást és integritás-ellenőrzést alkalmaz, hogy még elemzés közben is védje magát.
Ha manipulációt érzékel, az implantátum önmegsemmisíti magát, a logtörlő modulok pedig minden nyomot eltüntetnek a rendszerből. Ez jelentősen megnehezíti a nyomozók dolgát. A VoidLink fejlesztői kimagasló szaktudással dolgoznak, több programnyelvet használnak, a keretrendszer pedig jóval kifinomultabb, mint a legtöbb Linux-kártevő.
