VoidLink — вредонос, нацеленный на облачные инстансы Linux

VoidLink — новое вредоносное ПО для Linux — вызывает серьёзную обеспокоенность из-за своей скрытности и высокой степени кастомизации.

Вредоносное ПО для Linux не всегда находится в центре внимания администраторов. Однако был обнаружен новый фреймворк под названием VoidLink, который значительно превосходит по уровню сложности типичный вредоносный код.

VoidLink представляет собой фреймворк с более чем 30 модулями, которые можно добавлять или удалять, настраивая его возможности под конкретные цели и задачи атакующего. Среди модулей есть средства для обеспечения скрытности, разведки, повышения привилегий и перемещения внутри сети. По мере развития вредоносной кампании само ПО также может эволюционировать благодаря модульной архитектуре.

Основной фокус VoidLink — установки Linux на облачных хостингах, таких как AWS и Google Cloud, и этот список продолжает расширяться. Сразу после заражения VoidLink сканирует систему, определяет облачного провайдера через API метаданных инстанса. Цель — скрытный долгосрочный доступ, слежка и сбор данных.

VoidLink был обнаружен исследовательским подразделением Check Point Research, которое подробно описало принципы его работы. Согласно отчёту:

«Набор возможностей VoidLink необычайно широк. Он включает функции уровня руткита (LD_PRELOAD, LKM и eBPF), систему плагинов, работающую в памяти, для расширения функциональности, а также адаптивную скрытность, которая динамически подстраивает методы обхода защиты в зависимости от обнаруженных средств безопасности, отдавая приоритет операционной скрытности, а не производительности в контролируемых средах».

В Check Point Research также отметили, что VoidLink, по всей видимости, был создан и поддерживается разработчиками, связанными с Китаем.