Prima di procedere
Gli esperti di sicurezza informatica di Check Point Research hanno scoperto un nuovo e sofisticato malware modulare per Linux, denominato VoidLink. Questo framework malevolo è progettato per adattare le capacità di attacco in base alle specifiche esigenze degli aggressori su ciascuna macchina infetta, rendendolo particolarmente pericoloso e versatile.
VoidLink si distingue per la sua architettura modulare, che consente di collegare oltre 30 moduli diversi. Questi moduli possono essere aggiunti o rimossi facilmente durante una campagna di attacco, a seconda degli obiettivi specifici. Tra le funzionalità offerte dai moduli, spiccano quelle relative all'ottenimento di informazioni sensibili, all'elevazione dei privilegi di sistema e al movimento laterale all'interno della rete compromessa.
Una delle caratteristiche più preoccupanti di VoidLink è la sua capacità di attaccare macchine ospitate su popolari servizi cloud, tra cui AWS, GCP, Azure, Alibaba e Tencent. Il malware è in grado di rilevare automaticamente la presenza in queste infrastrutture cloud e, secondo alcune indicazioni, le future versioni potrebbero supportare anche le piattaforme Huawei, DigitalOcean e Vultr. Per identificare il servizio cloud in cui è ospitata una macchina, VoidLink analizza i metadati utilizzando le API dei rispettivi fornitori.
Sebbene esistano framework simili da anni per i server Windows, la loro presenza su macchine Linux è molto meno comune. Questo suggerisce che i criminali informatici stanno ampliando il loro raggio d'azione, prendendo di mira i sistemi Linux, le infrastrutture cloud e gli ambienti di sviluppo di applicazioni, seguendo la tendenza crescente delle aziende a migrare il software nel cloud.
L'interfaccia di VoidLink è localizzata per operatori legati alla Cina, il che fa supporre che il malware sia stato creato in questo paese. I simboli e i commenti presenti nel codice indicano che il progetto è ancora in fase di sviluppo.
Al momento, non sono stati rilevati casi di infezione da VoidLink in ambienti reali. I ricercatori lo hanno scoperto in una serie di cluster di malware per Linux su VirusTotal. Il pacchetto include un loader a due stadi e un impianto finale con moduli integrati, espandibili tramite plugin.
Le principali capacità di VoidLink includono:
- Orientamento al cloud: identifica le risorse cloud, raccoglie informazioni dettagliate sulla macchina infetta e rileva se opera in ambienti Docker o Kubernetes.
- API per lo sviluppo di plugin: configurabile durante l'inizializzazione.
- Meccanismo di occultamento adattivo: elenca i prodotti di sicurezza installati e le misure di protezione attive.
- Funzionalità di rootkit: si integra con l'attività di sistema per nascondere la propria presenza.
- Gestione tramite connessioni di rete in uscita apparentemente legittime.
- Protezione dall'analisi: blocca il debug e verifica l'integrità del codice.
- Sistema di plugin: permette a VoidLink di evolversi da semplice impianto a framework completo di post-exploitation.
- Ampie capacità di ricognizione: crea profili dettagliati del sistema e dell'ambiente, elenca utenti e gruppi, rileva processi e servizi, mappa file system, punti di mount, topologia e interfacce di rete locale.
- Raccolta attiva di credenziali: recupera chiavi Git e SSH, password e cookie dai browser, token di autenticazione, chiavi API e dati dal sistema di gestione delle chiavi nel kernel Linux.
Nonostante non siano ancora stati rilevati attacchi attivi, gli esperti raccomandano agli amministratori di sistema di prestare maggiore attenzione alle macchine Linux e di monitorare attentamente i propri ambienti cloud per individuare eventuali attività sospette. La crescente sofisticazione dei malware come VoidLink richiede un approccio proattivo alla sicurezza informatica e una costante vigilanza.
In conclusione, la scoperta di VoidLink rappresenta un campanello d'allarme per la sicurezza delle infrastrutture cloud e dei sistemi Linux. La sua architettura modulare, le capacità di adattamento e la focalizzazione sui servizi cloud lo rendono una minaccia seria e in continua evoluzione. È fondamentale che le aziende adottino misure di sicurezza adeguate e mantengano i propri sistemi aggiornati per proteggersi da questo tipo di attacchi.
