- VoidLink to framework dla malware modułowe i zaawansowane dla Linux, którego celem jest osiągnięcie trwałego i ukrytego dostępu w środowiskach chmurowych.
- Szkodliwe oprogramowanie wykrywa dostawców, takich jak AWS, GCP lub Azure, za pośrednictwem ich interfejsów API metadanych i dostosowuje swoje zachowanie do środowiska — kontenerów lub klastrów.
- Ponad 30 modułów umożliwia przeprowadzenie rozpoznania, podniesienie uprawnień, przemieszczanie się, kradzież danych uwierzytelniających i wykonywanie funkcji podobnych do rootkitów.
- Kluczem do ograniczenia ryzyka stwarzanego przez VoidLink jest wzmocnienie uprawnień, audyt udostępnionych interfejsów API, monitorowanie chmury i stosowanie jak najmniejszych uprawnień.
VoidLink stał się jedną z nazw, o których jest najwięcej szumu w świecie Cyberbezpieczeństwo Linuksa i chmura. Nie mamy tu do czynienia z prostym, irytującym wirusem, ale z bardzo zaawansowaną strukturą złośliwego oprogramowania, zaprojektowaną w celu infiltracji serwerów Linux obsługujących kluczowe usługi, aplikacje kontenerowe i znaczną część infrastruktury chmurowej, od której zależą firmy i organizacje publiczne.
Zagrożenie to jest szczególnie widoczne, ponieważ uderza w samo serce współczesnej infrastruktury.: wdrożone serwery Linux w Amazon Web Services (AWS), Google Platforma chmurowa (GCP), Microsoft Azure i inni główni dostawcy. Chociaż większość złośliwych kampanii historycznie koncentrowała się na WindowsVoidLink sygnalizuje niepokojący zwrot w stronę środowisk chmurowych i systemów, które zapewniają funkcjonowanie banków, administracji, szpitali i wszelkiego rodzaju platform internetowych.
Czym jest VoidLink i dlaczego budzi tak duże obawy?
VoidLink to modułowy, natywny dla chmury framework do ochrony przed złośliwym oprogramowaniem przeznaczony dla systemu Linux.Ten złośliwy zestaw narzędzi został odkryty i przeanalizowany przez zespół Check Point Research, dział analizy zagrożeń Check Point Software Technologies. Badacze zidentyfikowali ten zestaw narzędzi, przeglądając próbki złośliwego oprogramowania przechowywane na [brak nazwy witryny/platformy]. Bazy danychWkrótce zdali sobie sprawę, że nie mają do czynienia z byle jakim kodem.
Zamiast być pojedynczym programem o stałych funkcjach, VoidLink działa jako kompletny ekosystem komponentów, które można łączyć w celu osiągnięcia każdego celu. Platforma obejmuje ponad 30 odrębnych modułów, z których każdy oferuje określone możliwości: od rozpoznania i gromadzenia informacji, przez eskalację uprawnień, boczne przemieszczanie się w sieci, po zaawansowane techniki ukrywania się.
Prawdziwie niepokojąca jest filozofia projektowania. Co kryje się za tym złośliwym oprogramowaniem: zostało stworzone, aby zapewnić cichy i stały, długotrwały dostęp do systemów Linux działających w chmurach publicznych i środowiskach kontenerowych. Nie jest przeznaczone do szybkich i hałaśliwych ataków, ale do pozostawania w ukryciu, szpiegowania, przemieszczania się i pozyskiwania krytycznych informacji bez wzbudzania podejrzeń.
Analitycy Check Point wskazują, że poziom planowania, inwestycji i jakości kodu Przypomina to działania profesjonalnych aktorów zagrożeń, powiązanych z kampaniami cybernetycznego szpiegostwa i wysoce ustrukturyzowanymi operacjami. W rzeczywistości platforma jest wciąż w fazie aktywnego rozwoju, co oznacza, że jej możliwości będą nadal rozszerzane i udoskonalane. El Tiempo.
Chociaż do tej pory nie udokumentowano żadnych masowych kampanii infekcji VoidLinkJego konstrukcja sugeruje, że jest praktycznie gotowy do wdrożenia w rzeczywistych operacjach. Wielu ekspertów zgadza się, że gdy narzędzie tego kalibru pojawia się w laboratoriach, to zazwyczaj tylko kwestia czasu, zanim zacznie być wykorzystywane w atakach ukierunkowanych.
Oprogramowanie złośliwe przeznaczone dla infrastruktury chmurowej i Linux
VoidLink stanowi wyraźne odejście od tradycyjnego celu atakującychPorzuca klasyczny cel, jakim są komputery stacjonarne z systemem Windows, i koncentruje się bezpośrednio na warstwie infrastruktury, która stanowi podstawę internetu i usług chmurowych. Linux stanowi fundament większości serwerów WWW, baz danych, platform mikrousług i klastrów Kubernetes, więc każde zagrożenie skierowane konkretnie na to środowisko może mieć ogromne konsekwencje.
Struktura została od początku zaprojektowana tak, aby współistniała z technologiami natywnymi dla chmuryVoidLink potrafi rozpoznać, czy działa w środowiskach kontenerowych, takich jak Docker, czy w orkiestratorach, takich jak Kubernetes, i odpowiednio dostosować swoje działanie. Pozwala to na bezproblemową integrację z nowoczesnymi architekturami, wykorzystując złożoność i dynamikę tych środowisk, aby skuteczniej się w nie wtapiać.
Jedną z najbardziej wyróżniających się funkcji VoidLink jest możliwość identyfikacji dostawcy usług w chmurze. gdzie hostowana jest zainfekowana maszyna. Szkodliwe oprogramowanie przeszukuje metadane systemu za pośrednictwem interfejsów API udostępnionych przez dostawcę (takich jak AWS, GCP, Azure, Alibaba Cloud lub Tencent Cloud) i na podstawie wykrytych zagrożeń dostosowuje strategię ataku.
Naukowcy znaleźli również dowody na to, że twórcy frameworka planują dalsze rozszerzanie tego wsparcia.włączając określone wykrycia dla innych usług, takich jak Huawei Chmura, DigitalOcean czy Vultr. Ta silna orientacja na chmurę jasno pokazuje, że VoidLink został stworzony z myślą o scenariuszu, w którym niemal cała działalność organizacji jest prowadzona poza jej własnymi obiektami.
W praktyce mówimy o narzędziu mającym na celu przekształcenie infrastruktury chmurowej w powierzchnię atakuZamiast ograniczać się do pojedynczego serwera, złośliwe oprogramowanie może wykorzystać ten pierwszy punkt wejścia jako trampolinę do eksploracji całej sieci wewnętrznej, identyfikowania innych podatnych na ataki usług i dyskretnego rozszerzania swojego zasięgu.
Modułowa architektura i zaawansowane możliwości VoidLink
Sercem VoidLink jest jego modułowa architekturaZamiast ładować wszystkie funkcje do jednego pliku binarnego, struktura oferuje ponad 30 niezależnych modułów, które można aktywować, dezaktywować, dodawać lub usuwać w zależności od potrzeb atakujących w trakcie konkretnej kampanii.
To podejście typu „szwajcarskiego scyzoryka” pozwala na maksymalne dostosowanie możliwości złośliwego oprogramowania.Operator może najpierw skupić się na rozpoznaniu infrastruktury, następnie aktywować funkcje gromadzenia danych uwierzytelniających, a w razie wykrycia możliwości, uruchomić moduły dedykowane przemieszczaniu się w przestrzeni lub eskalacji uprawnień. Wszystko to odbywa się elastycznie i z możliwością zmiany konfiguracji „w locie”.
Moduły obejmują szeroki zakres zadań:ze szczegółowego spisu systemu (sprzęt komputerowy(oprogramowanie, uruchomione usługi, procesy, łączność sieciowa) aż po identyfikację narzędzi bezpieczeństwa obecnych na komputerze, co pomaga złośliwemu oprogramowaniu zdecydować, jak się zachować, aby uniknąć wykrycia.
Jednym z najbardziej wrażliwych elementów jest zarządzanie danymi uwierzytelniającymi i tajemnicamiVoidLink zawiera komponenty umożliwiające zbieranie kluczy. SSH przechowywane w systemie, hasła zapisywane przez przeglądarki, pliki cookie sesyjne, tokeny uwierzytelniająceKlucze API i inne dane umożliwiające dostęp do usług wewnętrznych i zewnętrznych bez konieczności wykorzystywania nowych luk w zabezpieczeniach.
Ponadto struktura zawiera funkcjonalności typu rootkitTechniki te mają na celu ukrycie procesów, plików i połączeń powiązanych ze złośliwym oprogramowaniem w trakcie normalnej aktywności systemu. Pozwala to na jego aktywność przez dłuższy czas, uniemożliwiając jego wykrycie przez rozwiązania bezpieczeństwa lub administratorów.
VoidLink nie tylko szpieguje, ale także ułatwia boczne przemieszczanie się w obrębie zainfekowanej sieciPo przedostaniu się do serwera może skanować zasoby wewnętrzne, wyszukiwać inne dostępne maszyny, sprawdzać uprawnienia i wykorzystywać skradzione dane uwierzytelniające w celu rozszerzenia zagrożenia na większą liczbę węzłów, szczególnie w środowiskach, w których istnieje wiele połączonych ze sobą instancji systemu Linux.
Rozwijający się ekosystem z interfejsami API dla złośliwych programistów
Innym aspektem, który wywołuje dreszcze u analityków, jest to, że VoidLink prezentuje się nie tylko jako złośliwe oprogramowanie, ale jako prawdziwie rozszerzalna struktura.Odkryty kod obejmuje interfejs API służący do tworzenia oprogramowania, który jest konfigurowany podczas inicjalizacji złośliwego oprogramowania na zainfekowanych komputerach. Interfejs ten ma na celu ułatwienie tworzenia nowych modułów lub integracji dodatkowych komponentów przez jego autorów lub inne osoby stwarzające zagrożenie.
To API umożliwia szybką ewolucję strukturyAdaptacja do nowych środowisk, defensywnych technik wykrywania lub konkretnych potrzeb operacyjnych. Jeśli obrońcy zaczną blokować określony wzorzec zachowania, atakujący mogą modyfikować lub zastępować określone moduły bez konieczności przepisywania całego złośliwego oprogramowania od podstaw.
Naukowcy z Check Point podkreślają, że poziom zaawansowania tego projektu nie jest typowy dla grup amatorskich.Wszystko wskazuje na to, że jest to projekt długoterminowy, dobrze wyposażony i z jasno określonym planem działania, odpowiedni dla organizacji zajmujących się cybernetycznym szpiegostwem lub zaawansowanych grup przestępczości zorganizowanej dysponujących silnymi możliwościami technicznymi.
Wskazówki znalezione w kodzie wskazują na programistów powiązanych z ChinamiJednak, jak to często bywa w tego typu analizach, jednoznaczne przypisanie autorstwa konkretnemu państwu lub grupie jest złożone i nie można go uznać za przesądzone wyłącznie na podstawie tych tropów. Niemniej jednak, rodzaj potencjalnych celów (infrastruktura krytyczna, usługi chmurowe, środowiska o wysokiej wartości) jest zgodny z zakrojonymi na szeroką skalę operacjami szpiegostwa i inwigilacji.
Warto podkreślić, że według dostępnych danych nadal nie ma publicznych dowodów na aktywne kampanie masowe z wykorzystaniem VoidLinkZestaw narzędzi został zidentyfikowany i zbadany na stosunkowo wczesnym etapie jego cyklu życia, co daje obrońcom i dostawcom rozwiązań bezpieczeństwa możliwość opracowania reguł wykrywania, wskaźników naruszenia i strategii łagodzenia skutków, zanim zostanie on szeroko wdrożony.
Potencjalny wpływ na przedsiębiorstwa, rządy i kluczowe usługi
Prawdziwe zagrożenie, jakie stwarza VoidLink, nie ogranicza się do konkretnego serwera, który uda mu się zainfekować.Ponieważ jest on ukierunkowany na środowiska chmurowe i infrastruktury Linux, które stanowią podstawę kluczowych usług, potencjalny wpływ obejmuje całe sieci połączonych ze sobą systemów, zarówno w sektorze prywatnym, jak i publicznym.
Obecnie znaczna część przedsiębiorstw prowadzi swoją działalność niemal wyłącznie w chmurze.Od startupów budujących swoje aplikacje w kontenerach po banki, szpitale i agencje rządowe wdrażające swoje kluczowe platformy na platformach AWS, GCP, Azure lub innych głównych dostawców, wdrożenie klastra serwerów Linux w tych środowiskach oznacza w praktyce uzyskanie dostępu do poufnych danych, usług o znaczeniu krytycznym i bardzo wrażliwych procesów wewnętrznych.
VoidLink idealnie wpisuje się w ten scenariusz.Potrafi zidentyfikować dostawcę chmury, u którego jest hostowany, określić, czy działa na konwencjonalnej maszynie wirtualnej, czy w kontenerze, a następnie dostosować swoje działanie, aby uzyskać maksymalne korzyści bez wywoływania alarmów. Z perspektywy atakującego jest to bardzo elastyczne narzędzie do poruszania się po złożonych infrastrukturach.
Wśród działań, jakie może wykonywać, znajduje się monitorowanie sieci wewnętrznej i zbieranie informacji o innych dostępnych systemach.Połączenie tego z możliwością gromadzenia danych uwierzytelniających i poufnych może doprowadzić do powstania łańcuchów zagrożeń obejmujących wiele usług, wiele serwerów, a ostatecznie obejmujących znaczną część infrastruktury danej organizacji.
Co więcej, VoidLink, ze względu na nacisk na długoterminową trwałość, jest szczególnie atrakcyjny dla operacji szpiegowskich.Zamiast szyfrować dane i żądać okupu (jako tradycyjne oprogramowanie ransomware), ten typ ram najlepiej sprawdza się w przypadku kampanii, których celem jest uzyskanie strategicznych informacji, monitorowanie komunikacji, wyodrębnianie poufnych baz danych lub selektywne manipulowanie systemami bez narażania się na wykrycie przez miesiące, a nawet lata.
Jak VoidLink działa w środowiskach chmurowych i Linux
Zachowanie VoidLinka po zainfekowaniu systemu Linux przebiega według dość logicznej sekwencji działań, mającej na celu minimalizację szumów.Po pierwszym uruchomieniu złośliwe oprogramowanie inicjuje swoje środowisko, konfiguruje wewnętrzne API i ładuje moduły niezbędne do przeprowadzenia fazy rozpoznania.
Na tym początkowym etapie struktura skupia się na zebraniu jak największej ilości informacji. na temat zagrożonego systemu: używana dystrybucja Linuksa, wersja jądra, uruchomione usługi, otwarte porty, zainstalowane oprogramowanie zabezpieczające, dostępne ścieżki sieciowe i wszelkie inne dane, które mogą pomóc atakującym w stworzeniu szczegółowej mapy środowiska.
Równocześnie VoidLink analizuje metadane dostarczone przez dostawcę chmuryKorzystając z interfejsów API specyficznych dla danej platformy, system ustala, czy maszyna korzysta z AWS, GCP, Azure, Alibaba, Tencent lub innych usług, dla których planowane jest wsparcie techniczne w przyszłości. To rozpoznanie określa, które moduły są aktywowane i jakie techniki są stosowane do przenoszenia lub eskalacji uprawnień.
Gdy struktura ma już jasny obraz środowiska, można aktywować moduły eskalacji uprawnień. przejście od użytkownika z niewielkimi uprawnieniami do użytkownika mającego niemal całkowitą kontrolę nad systemem, wykorzystując słabe konfiguracje, źle zarządzane dane uwierzytelniające lub luki specyficzne dla danego środowiska.
Dzięki podwyższonym uprawnieniom VoidLink wdraża swoje możliwości ruchu bocznegoPolega ona na eksploracji sieci wewnętrznej, próbach nawiązania połączenia z innymi systemami Linux lub usługami krytycznymi oraz wykorzystywaniu skradzionych danych uwierzytelniających do uzyskiwania dostępu do nowych maszyn. Wszystko to dzieje się w czasie, gdy moduły stealth i podobne do rootkitów ukrywają szkodliwą aktywność wśród legalnych procesów.
Przez cały proces struktura utrzymuje dyskretną komunikację z infrastrukturą dowodzenia i kontroli atakujących.Otrzymywanie instrukcji dotyczących tego, które moduły aktywować, jakie informacje traktować priorytetowo i jakie kroki należy podjąć. Modułowy charakter systemu pozwala nawet na wprowadzanie nowych komponentów „w locie”, aby dostosować działanie systemu do zmian w środowisku lub napotkanych zabezpieczeń.
Dlaczego VoidLink demonstruje zmianę podejścia w kierunku Linuksa
Przez lata dominującą narracją w cyberbezpieczeństwo krąży wokół systemu Windowszwłaszcza w obszarze ransomware i malware atakujących użytkowników końcowych. Jednak odkrycie VoidLink potwierdza trend, który wielu ekspertów przewidywało od dawna: rosnące zainteresowanie atakujących Linuksem, a przede wszystkim środowiskami chmurowymi opartymi na tym systemie operacyjnym.
Linux stanowi podstawę dużej części Internetu, serwerów aplikacji i infrastruktury chmurowej.Tradycyjnie jednak system ten był mniej podatny na ataki masowego złośliwego oprogramowania niż system Windows. Nie oznacza to jednak, że był on odporny na ataki, ale raczej, że atakujący skupiali się bardziej na liczbie ataków (użytkownicy komputerów stacjonarnych) niż na jakości lub wartości celów.
Wraz z konsolidacją chmury jako głównej platformy dla działalności przedsiębiorstw, atrakcyjność Linuksa jako wartościowego celu gwałtownie wzrosła.VoidLink idealnie wpasowuje się w ten nowy scenariusz: jest zaprojektowany do działania w klastrach, kontenerach, serwerach produkcyjnych i środowiskach, w których obsługiwane dane i usługi mają kluczowe znaczenie dla ciągłości operacyjnej.
Fakt, że powstają tak kompleksowe ramy, wskazuje, że podmioty stanowiące zagrożenie wyraźnie poszerzają swoje obszary zainteresowań.nie tylko do atakowania odizolowanych systemów Linux, ale także do wykorzystywania tych maszyn jako bramy do całych infrastruktur i wielodostępnych platform chmurowych, na których współistnieją dane z wielu organizacji.
W tym kontekście osoby zarządzające bezpieczeństwem nie mogą już dłużej traktować Linuksa jako środowiska „drugorzędnego” w kontekście obrony.Wręcz przeciwnie, muszą założyć, że staje się to jednym z głównych pól bitwy współczesnego cyberbezpieczeństwa i że zagrożenia takie jak VoidLink będą stawać się coraz częstsze i bardziej wyrafinowane.
Kluczowe środki ochrony systemów Linux przed VoidLink
Mimo że VoidLink jest złożonym zagrożeniem, jego zachowanie dostarcza kilku przydatnych wskazówek. Ma to pomóc administratorom systemów i zespołom ds. bezpieczeństwa wzmocnić ich obronę. To nie jest magiczne rozwiązanie, ale raczej szereg praktyk, które znacząco zmniejszają szanse na powodzenie takiego rozwiązania.
Jedną z pierwszych linii obrony jest audyt ujawnionych interfejsów API i usług.Ponieważ VoidLink opiera się na dostępie do metadanych i interfejsów zarządzania dostarczanych przez dostawców chmury, kluczowe jest sprawdzenie, które punkty końcowe są dostępne, skąd i z jakimi uprawnieniami. Ograniczanie zbędnego dostępu i stosowanie ścisłych kontroli może komplikować fazę wykrywania złośliwego oprogramowania.
Kolejnym istotnym elementem jest wzmocnienie wiarygodności.Słabe, wielokrotnie używane lub niezabezpieczone hasła to prawdziwy skarb dla każdego atakującego. Wdrożenie silnych zasad dotyczących haseł, korzystanie z uwierzytelniania wieloskładnikowego, gdy jest to możliwe, oraz prawidłowe zarządzanie kluczami SSH, tokenami i kluczami API zmniejszają wartość modułów VoidLink do gromadzenia danych uwierzytelniających.
Równie istotne jest ciągłe monitorowanie środowisk chmurowychOrganizacje muszą prowadzić szczegółowe dzienniki aktywności, alerty dotyczące nietypowych zachowań oraz narzędzia umożliwiające korelację zdarzeń w różnych usługach i serwerach. Struktura, której celem jest pozostawanie niewykrytym przez dłuższy czas, staje się znacznie bardziej podatna na ataki, gdy istnieje dobra widoczność i proaktywna analiza aktywności.
Na koniec niezwykle istotne jest zastosowanie ścisłych ograniczeń uprawnień zarówno dla użytkowników, jak i kontenerów.Zasada najmniejszych uprawnień powinna być normą: każdy użytkownik, usługa lub kontener powinien mieć tylko uprawnienia niezbędne do jego działania. Jeśli VoidLink narusza nawet bardzo ograniczony zestaw uprawnień, jego pole manewru drastycznie się ogranicza.
Oprócz tych środków warto wzmocnić inne ogólne praktyki bezpieczeństwatakie jak regularne aktualizowanie systemu operacyjnego i wprowadzanie poprawek do aplikacji, segmentacja sieci w celu zapobiegania niekontrolowanemu rozprzestrzenianiu się zagrożeń oraz stosowanie rozwiązań zabezpieczających zaprojektowanych specjalnie dla środowisk Linux i chmurowych, które integrują wykrywanie oparte na zachowaniu.
VoidLink jest wyraźnym sygnałem, w jakim kierunku zmierza najnowocześniejsze złośliwe oprogramowanie.Bezpośrednio ukierunkowując system Linux i główne platformy chmurowe, ta struktura wymusza na organizacjach bardzo poważne traktowanie ochrony swojej infrastruktury krytycznej, wykraczające poza tradycyjny sprzęt użytkownika. Im szybciej wzmocnione zostaną mechanizmy obronne w tym obszarze, tym mniejsze pole manewru będą mieli atakujący, gdy narzędzia takie jak ta struktura zostaną wykorzystane w rzeczywistych kampaniach.
Pisarz z pasją zajmujący się światem bajtów i technologii w ogóle. Uwielbiam dzielić się swoją wiedzą poprzez pisanie i właśnie to będę robić na tym blogu, pokazywać Ci wszystkie najciekawsze rzeczy o gadżetach, oprogramowaniu, sprzęcie, trendach technologicznych i nie tylko. Moim celem jest pomóc Ci poruszać się po cyfrowym świecie w prosty i zabawny sposób.