I ricercatori hanno scoperto un framework mai visto prima che infetta le macchine Linux con un’ampia gamma di moduli notevoli per la gamma di funzionalità avanzate che offrono agli aggressori.
Il framework, denominato VoidLink nel codice sorgente, contiene più di 30 moduli che possono essere utilizzati per personalizzare le funzionalità per soddisfare le esigenze degli aggressori per ciascuna macchina infetta. Questi moduli possono fornire ulteriore azione furtiva e strumenti specifici per il riavvio, l’escalation dei privilegi e lo spostamento laterale all’interno di una rete compromessa. I componenti possono essere facilmente aggiunti o rimossi man mano che gli obiettivi cambiano durante una campagna.
Focus su Linux nel cloud
VoidLink può prendere di mira le macchine all’interno dei servizi cloud più diffusi rilevando se una macchina infetta è ospitata all’interno di AWS, GCP, Azure, Alibaba e Tencent e ci sono indicazioni che gli sviluppatori intendano aggiungere il rilevamento per Huawei, DigitalOcean e Vultr nelle versioni future. Per identificare quale servizio cloud ospita la macchina, VoidLink controlla i metadati utilizzando l’API del rispettivo fornitore.
Nel corso degli anni sono stati sviluppati framework simili destinati a Windows Server. Questi sono meno comuni sulle macchine Linux. Il set di funzionalità è insolitamente ampio e “molto più avanzato del tipico malware Linux” disse Ricercatori di Checkpoint, la società di sicurezza che ha scoperto VoidLink. La sua creazione potrebbe indicare che l’attenzione di un utente malintenzionato si sta espandendo sempre più fino a includere sistemi Linux, infrastrutture cloud e ambienti di distribuzione delle applicazioni, poiché le organizzazioni spostano sempre più i carichi di lavoro in questi ambienti.
“VoidLink è un ecosistema completo progettato per mantenere un accesso continuo e a lungo termine ai sistemi Linux compromessi e a lungo termine, in particolare quelli in esecuzione su piattaforme cloud pubbliche e in ambienti containerizzati”, hanno affermato i ricercatori. Posta a parte. “Il suo design riflette un livello di pianificazione e investimento tipicamente associato ad autori di minacce professionali piuttosto che ad aggressori opportunisti, che scommettono su difensori che potrebbero non rendersi mai conto che la loro infrastruttura è stata tranquillamente dirottata.”
