Istraživači su otkrili okvir koji do sada nikada nije viđen, a koji inficira Linux strojeve širokim spektrom modula koji su poznati po naprednim mogućnostima koje pružaju napadačima.
Okvir, poznat kao VoidLink prema svom izvoru koda, sadrži više od 30 modula koji se mogu prilagoditi potrebama napadača za svaku inficiranu mašinu. Ovi moduli mogu pružiti dodatnu stealth funkcionalnost i specifične alate za izviđanje, eskalaciju privilegija i lateralno kretanje unutar kompromitirane mreže. Komponente se lako mogu dodavati ili uklanjati kako se ciljevi mijenjaju tijekom kampanje.
Fokus na Linux unutar oblaka
VoidLink može ciljati strojeve unutar popularnih cloud usluga otkrivanjem je li inficirana mašina smještena unutar AWS, GCP, Azure, Alibaba i Tencent, a postoje naznake da planiraju dodati detekciju za Huawei, DigitalOcean i Vultr u budućim izdanjima. Kako bi otkrio koja cloud usluga hostira mašinu, VoidLink ispituje metapodatke koristeći API odgovarajućeg davatelja usluga.
Slični okviri koji ciljaju Windows servere cvjetali su godinama. Rjeđe su prisutni na Linux strojevima. Skup značajki je neobično širok i “daleko napredniji od tipičnog Linux malwarea”, rekli su istraživači iz Checkpointa, sigurnosne tvrtke koja je otkrila VoidLink. Njegovo stvaranje može ukazivati na to da se fokus napadača sve više širi kako bi uključio Linux sustave, cloud infrastrukturu i okruženja za implementaciju aplikacija, dok se organizacije sve više prebacuju na ova okruženja.
“VoidLink je sveobuhvatan ekosustav dizajniran za održavanje dugotrajne, stealth pristupa kompromitiranim Linux sustavima, posebno onima koji rade na javnim cloud platformama i u kontejnerskim okruženjima,” rekli su istraživači u odvojenom postu. “Njegov dizajn odražava razinu planiranja i ulaganja koja se obično povezuje s profesionalnim prijetnjama, a ne opportunističkim napadačima, povećavajući rizik za obranu koja možda nikad neće shvatiti da je njihova infrastruktura tiho preuzeta.”
