VoidLink — новое вредоносное ПО для Linux — вызывает серьёзную обеспокоенность из-за своей скрытности и высокой степени кастомизации.
Вредоносное ПО для Linux не всегда находится в центре внимания администраторов. Однако был обнаружен новый фреймворк под названием VoidLink, который значительно превосходит по уровню сложности типичный вредоносный код.
VoidLink представляет собой фреймворк с более чем 30 модулями, которые можно добавлять или удалять, настраивая его возможности под конкретные цели и задачи атакующего. Среди модулей есть средства для обеспечения скрытности, разведки, повышения привилегий и перемещения внутри сети. По мере развития вредоносной кампании само ПО также может эволюционировать благодаря модульной архитектуре.
Основной фокус VoidLink — установки Linux на облачных хостингах, таких как AWS и Google Cloud, и этот список продолжает расширяться. Сразу после заражения VoidLink сканирует систему, определяет облачного провайдера через API метаданных инстанса. Цель — скрытный долгосрочный доступ, слежка и сбор данных.
VoidLink был обнаружен исследовательским подразделением Check Point Research, которое подробно описало принципы его работы. Согласно отчёту:
«Набор возможностей VoidLink необычайно широк. Он включает функции уровня руткита (LD_PRELOAD, LKM и eBPF), систему плагинов, работающую в памяти, для расширения функциональности, а также адаптивную скрытность, которая динамически подстраивает методы обхода защиты в зависимости от обнаруженных средств безопасности, отдавая приоритет операционной скрытности, а не производительности в контролируемых средах».
В Check Point Research также отметили, что VoidLink, по всей видимости, был создан и поддерживается разработчиками, связанными с Китаем.
