Nigdy wcześniej nie widziane złośliwe oprogramowanie dla systemu Linux jest „znacznie bardziej zaawansowane niż typowe”
Badacze odkryli nigdy wcześniej nie widziany framework, który infekuje maszyny z systemem Linux za pomocą szerokiego asortymentu modułów wyróżniających się zakresem zaawansowanych możliwości, jakie zapewniają atakującym. Struktura ta, w kodzie źródłowym określana jako VoidLink, zawiera ponad 30 modułów, których można użyć do dostosowania możliwości w celu spełnienia potrzeb atakujących w przypadku każdej zainfekowanej maszyny. Moduły te mogą zapewniać dodatkowe ukryte i specyficzne narzędzia do rozpoznania, eskalacji uprawnień i ruchu bocznego w zaatakowanej sieci. Komponenty można łatwo dodawać lub usuwać w miarę zmiany celów w trakcie kampanii. Koncentracja na Linuksie w chmurze VoidLink może atakować maszyny w ramach popularnych usług w chmurze, wykrywając, czy zainfekowana maszyna jest hostowana w AWS, GCP, Azure, Alibaba i Tencent. Wiele wskazuje na to, że programiści planują dodać wykrywanie dla Huawei, DigitalOcean i Vultr w przyszłych wersjach. Aby wykryć, która usługa w chmurze obsługuje maszynę, VoidLink sprawdza metadane przy użyciu interfejsu API odpowiedniego dostawcy. Podobne frameworki przeznaczone dla serwerów Windows rozwijają się od lat. Są mniej powszechne na komputerach z systemem Linux. Zestaw funkcji jest niezwykle szeroki i „znacznie bardziej zaawansowany niż typowe złośliwe oprogramowanie dla systemu Linux” – twierdzą badacze z Checkpoint, firmy zajmującej się bezpieczeństwem, która odkryła VoidLink. Jego utworzenie może wskazywać, że cel ataku atakującego w coraz większym stopniu obejmuje systemy Linux, infrastrukturę chmurową i środowiska wdrażania aplikacji, ponieważ organizacje coraz częściej przenoszą obciążenia do tych środowisk. „VoidLink to kompleksowy ekosystem zaprojektowany w celu utrzymywania długoterminowego, ukrytego dostępu do zainfekowanych systemów Linux, szczególnie tych działających na platformach chmury publicznej i w środowiskach kontenerowych” – napisali badacze w osobnym poście. „Jego projekt odzwierciedla poziom planowania i inwestycji zwykle kojarzony z profesjonalnymi ugrupowaniami zagrażającymi, a nie z oportunistycznymi napastnikami, co podnosi stawkę dla obrońców, którzy mogą nigdy nie zdawać sobie sprawy, że ich infrastruktura została po cichu przejęta”.
已Opublikowany: 2026-01-13 22:07:00
źródło: arstechnica.com
