- Обнаружен новый модульный вредоносный фреймворк VoidLink, нацеленный на Linux-инстансы в облачных средах.
- VoidLink оснащён более чем 30 модулями для скрытности, разведки, повышения привилегий и перемещения по сети, что позволяет ему адаптироваться и эволюционировать.
- Исследователи Check Point предполагают, что разработка VoidLink связана с группировками из Китая.
Исследовательское подразделение Check Point Research выявило новый вредоносный фреймворк под названием VoidLink, представляющий серьёзную угрозу для облачных Linux-серверов. Особенностью данного ПО является его модульная архитектура, включающая более 30 расширяемых компонентов, что даёт возможность тонко настраивать функциональность под конкретные задачи злоумышленников. Такие модули обеспечивают методы скрытности, сбор разведданных, повышение привилегий и перемещение внутри целевой сети, что значительно повышает эффективность атак.
Основной целью VoidLink являются Linux-инстансы, работающие в облачных инфраструктурах, таких как Amazon Web Services и Google Cloud Platform, однако список атакуемых провайдеров непрерывно расширяется. После проникновения вредоносное ПО осуществляет сканирование системы и через API метаданных облачного инстанса определяет, какой сервис используется. Это позволяет злоумышленникам максимально точно адаптировать свои действия для скрытого и долгосрочного контроля над заражённой системой с целью сбора информации и наблюдения.
Отчёт Check Point подчеркивает высокотехнологичный уровень реализации VoidLink. Использование техник руткита, включая LD_PRELOAD, LKM (Loadable Kernel Modules) и eBPF, вместе с работающей в памяти системой плагинов, обеспечивает не только эффективность, но и динамическую адаптацию методов обхода средств защиты. Вредонос ориентирован в первую очередь на операционную скрытность и минимизацию обнаружения в защищённых средах, вводя в приоритет именно маскировку своих следов, а не производительность работы.
Аналитики Check Point сделали предположение, что за созданием и развитием VoidLink могут стоять разработчики, связанные с Китаем, что свидетельствует о дальнейшей тенденции усложнения и геополитической направленности киберугроз в современной кибербезопасности. Акцент на облачные платформы подчёркивает растущие риски для систем, работающих в популярных облачных экосистемах, и требует от специалистов по безопасности повышения бдительности и совершенствования мер защиты.
