Các nhà nghiên cứu đã phát hiện ra một khung phần mềm chưa từng thấy trước đây, có khả năng lây nhiễm vào các máy Linux với nhiều mô-đun khác nhau, nổi bật nhờ phạm vi các tính năng tiên tiến mà chúng cung cấp cho kẻ tấn công.
Khung phần mềm này, được gọi là VoidLink theo mã nguồn, bao gồm hơn 30 mô-đun có thể được sử dụng để tùy chỉnh các khả năng nhằm đáp ứng nhu cầu của kẻ tấn công đối với từng máy bị nhiễm. Các mô-đun này có thể cung cấp thêm khả năng ẩn nấp và các công cụ cụ thể để trinh sát, leo thang đặc quyền và di chuyển ngang trong mạng bị xâm nhập. Các thành phần có thể dễ dàng được thêm hoặc xóa khi mục tiêu thay đổi trong suốt chiến dịch.
Tập trung vào Linux trong môi trường điện toán đám mây
VoidLink có thể nhắm mục tiêu vào các máy chủ trong các dịch vụ đám mây phổ biến bằng cách phát hiện xem máy bị nhiễm có được lưu trữ trong AWS, GCP, Azure, Alibaba và Tencent hay không, và có dấu hiệu cho thấy các nhà phát triển đang lên kế hoạch bổ sung khả năng phát hiện Huawei, DigitalOcean và Vultr trong các bản phát hành tương lai. Để phát hiện dịch vụ đám mây nào đang lưu trữ máy, VoidLink kiểm tra siêu dữ liệu bằng cách sử dụng API của nhà cung cấp tương ứng.
Các khung phần mềm tương tự nhắm mục tiêu vào máy chủ Windows đã phát triển mạnh trong nhiều năm. Chúng ít phổ biến hơn trên các máy Linux. Bộ tính năng của nó rất đa dạng và "tiên tiến hơn nhiều so với phần mềm độc hại Linux thông thường", theo các nhà nghiên cứu từ Check Point, công ty bảo mật đã phát hiện ra VoidLink. Việc tạo ra nó có thể cho thấy mục tiêu của kẻ tấn công đang ngày càng mở rộng sang các hệ thống Linux, cơ sở hạ tầng đám mây và môi trường triển khai ứng dụng, khi các tổ chức ngày càng chuyển khối lượng công việc sang các môi trường này.
“VoidLink là một hệ sinh thái toàn diện được thiết kế để duy trì quyền truy cập lâu dài và bí mật vào các hệ thống Linux bị xâm nhập, đặc biệt là những hệ thống chạy trên nền tảng điện toán đám mây công cộng và trong môi trường container,” các nhà nghiên cứu cho biết trong một bài đăng riêng . “Thiết kế của nó phản ánh mức độ lập kế hoạch và đầu tư thường thấy ở các tác nhân đe dọa chuyên nghiệp hơn là những kẻ tấn công cơ hội, làm tăng rủi ro cho những người bảo vệ, những người có thể không bao giờ nhận ra rằng cơ sở hạ tầng của họ đã bị chiếm đoạt một cách âm thầm.”
