Профессиональный кибершпионаж: VoidLink ставит под удар Linux и облачные сервисы

Профессиональное сообщество в сфере кибербезопасности столкнулось с беспрецедентно развитым шпионским программным обеспечением, нацеленным на системы на базе Linux и облачные инфраструктуры. Новый вредоносный инструмент, получивший название VoidLink, демонстрирует уровень сложности, ранее не встречавшийся в экосистеме Linux.

Как сообщает Valyuta.az, данная угроза предоставляет злоумышленникам практически неограниченные возможности перемещения внутри зараженной системы.

Обнаруженная исследователями компании Check Point структура представляет собой не просто вирус, а масштабную экосистему, состоящую более чем из 30 модулей, каждый из которых выполняет отдельную функцию. С их помощью атакующие могут незаметно продвигаться по внутренней сети, повышать уровень привилегий и обходить системы защиты, не вызывая подозрений. Примечательно, что модули могут динамически добавляться или удаляться в зависимости от целей атаки.

Основной специализацией VoidLink являются облачные сервисы — ключевая инфраструктура современной цифровой экономики. Вредоносное ПО способно автоматически распознавать такие платформы, как Amazon Web Services, Microsoft Azure, Google Cloud, а также Alibaba Cloud и Tencent Cloud. Для определения используемого провайдера программа использует официальные панели управления самих компаний. Анализ кода указывает на планы расширения списка целей за счет таких платформ, как DigitalOcean и Huawei Cloud. Эксперты отмечают, что инструменты подобного уровня давно существуют для серверов Windows, однако в мире Linux столь «профессиональный» подход встречается крайне редко.

Профессиональная угроза и китайский след

Исследователи считают, что VoidLink является разработкой не случайных хакеров, а профессиональных групп, обладающих серьезными финансовыми и техническими ресурсами. Наличие интерфейса на китайском языке и комментариев в коде указывает на вероятное происхождение инструмента из среды, связанной с Китаем. Положительным моментом остается то, что программа пока не получила широкого распространения.

Команда Check Point обнаружила VoidLink на платформах антивирусного сканирования при анализе подозрительных пакетов, еще на стадии разработки. Если бы вредоносное ПО не было выявлено своевременно, компании могли бы месяцами не подозревать о компрометации своих систем.

Функциональность VoidLink не ограничивается шпионажем. Программа анализирует, запущены ли в системе контейнеры Docker или поды Kubernetes, собирает данные — от SSH-ключей до cookie-файлов браузеров, активирует rootkit-функции для сокрытия своего присутствия и маскируется под легитимные процессы с целью обхода средств защиты.

Хотя на данный момент активных атак зафиксировано не было, специалисты подчеркивают необходимость повышенной бдительности для организаций, использующих Linux и облачные рабочие нагрузки.

Пааша Мамедли