Як інформує «Перший Новинний» із посиланням на звіт Check Point Research, VoidLink — нове небезпечне ПЗ (програмне забезпечення) для систем Linux — викликає серйозне занепокоєння через свою непомітність та широкі можливості для модифікації.
Зазвичай загрози для цієї операційної системи не завжди перебувають у центрі уваги адміністраторів. Проте виявлений фреймворк VoidLink за рівнем складності значно перевершує типові шкідливі коди. Він містить понад тридцять модулів, які зловмисники можуть додавати або видаляти залежно від конкретних завдань атаки. Така архітектура дозволяє інструменту еволюціонувати безпосередньо під час проведення кіберкампанії. Серед функцій ПЗ є засоби для розвідки, підвищення прав доступу та непомітного переміщення всередині мережі.
Основною ціллю VoidLink є інсталяції Linux на хмарних хостингах, зокрема AWS та Google Cloud. Одразу після проникнення програма сканує середовище та визначає провайдера через метадані інстансу. Головною метою кіберзлочинців є отримання тривалого доступу до ресурсів, стеження та викрадення конфіденційної інформації.
Дослідники з Check Point Research детально описали механізми функціонування цього інструменту. Можливості фреймворку охоплюють функції рівня руткіта, що дозволяє йому глибоко вкорінюватися в системі. Програма використовує плагіни, які працюють виключно в оперативній пам’яті, що ускладнює її виявлення стандартними засобами захисту. VoidLink вміє динамічно підлаштовувати методи обходу безпеки, орієнтуючись на виявлені антивіруси чи інші бар’єри. При цьому розробники надали пріоритет максимальній прихованості, навіть якщо це дещо знижує загальну продуктивність у контрольованих середовищах.
Експерти також підкреслили, що за створенням та підтримкою VoidLink імовірно стоять розробники, пов’язані з Китаєм. Подальший розвиток цього інструменту загрожує безпеці корпоративних даних у хмарах по всьому світу.
Раніше ми писали про те, як не втратити звʼязок та інтернет під час блекауту.