Un logiciel malveillant Linux jamais vu auparavant est bien plus avancé que la normale
Des chercheurs ont découvert un framework inédit qui infecte les machines Linux avec un large éventail de modules remarquables par la gamme de capacités avancées qu’ils offrent aux attaquants.
Le framework, désigné sous le nom de VoidLink par son code source, comprend plus de 30 modules qui peuvent être utilisés pour personnaliser les capacités selon les besoins des attaquants pour chaque machine infectée. Ces modules peuvent fournir une discrétion supplémentaire et des outils spécifiques pour la reconnaissance, l’escalade de privilèges et les déplacements latéraux à l’intérieur d’un réseau compromis. Les composants peuvent être facilement ajoutés ou retirés à mesure que les objectifs changent au cours d’une campagne.
Un accent sur Linux dans le cloud
VoidLink peut cibler des machines au sein de services cloud populaires en détectant si une machine infectée est hébergée dans AWS, GCP, Azure, Alibaba et Tencent, et il existe des indications que les développeurs prévoient d’ajouter des détections pour Huawei, DigitalOcean et Vultr dans les futures versions. Pour détecter quel service cloud héberge la machine, VoidLink examine les métadonnées en utilisant l’API du fournisseur concerné.
Des frameworks similaires ciblant les serveurs Windows existent depuis des années. Ils sont moins courants sur les machines Linux. L’ensemble des fonctionnalités est exceptionnellement large et est bien plus avancé que les logiciels malveillants Linux typiques, ont déclaré des chercheurs de Checkpoint, l’entreprise de sécurité qui a découvert VoidLink. Sa création peut indiquer que l’attention des attaquants s’étend de plus en plus pour inclure les systèmes Linux, l’infrastructure cloud et les environnements de déploiement d’applications, à mesure que les organisations transfèrent de plus en plus leurs charges de travail vers ces environnements.
VoidLink est un écosystème complet conçu pour maintenir un accès discret à long terme aux systèmes Linux compromis, en particulier ceux fonctionnant sur des plateformes cloud publiques et dans des environnements conteneurisés, ont déclaré les chercheurs dans un article séparé. Sa conception reflète un niveau de planification et d’investissement généralement associé à des acteurs de menaces professionnels plutôt qu’à des attaquants opportunistes, ce qui augmente les enjeux pour les défenseurs qui pourraient ne jamais réaliser que leur infrastructure a été discrètement prise en main.
L’interface de VoidLink est localisée pour des opérateurs affiliés à la Chine, une indication qu’il provient probablement d’un environnement de développement affilié à la Chine. Les symboles et commentaires dans le code source suggèrent que VoidLink est toujours en développement. Un autre signe que le framework n’est pas encore terminé : Checkpoint n’a trouvé aucun signe qu’il ait infecté des machines dans la nature. Les chercheurs de l’entreprise l’ont découvert le mois dernier dans une série de clusters de logiciels malveillants Linux disponibles via VirusTotal.
Inclus dans le lot de binaires se trouvait un chargeur en deux étapes. L’implant final comprend des modules de base intégrés qui peuvent être augmentés par des plugins téléchargés et installés lors de l’exécution. Les capacités des 37 modules découverts jusqu’à présent incluent :
Un savoir-faire axé sur le cloud. En plus de la détection du cloud, ces modules collectent de vastes quantités d’informations sur la machine infectée, énumérant son hyperviseur et détectant s’il fonctionne dans un conteneur Docker ou un pod Kubernetes.
Des API de développement de plugins. VoidLink offre une API de développement étendue qui est mise en place lors de l’initialisation du logiciel malveillant.
Une discrétion adaptative. VoidLink énumère les produits de sécurité installés et les mesures de renforcement.
Des fonctions rootkit qui permettent à VoidLink de se fondre dans l’activité système normale.
Le commandement et contrôle mis en œuvre via ce qui semble être des connexions réseau sortantes légitimes.
L’anti-analyse en employant des techniques anti-débogage et des contrôles d’intégrité pour identifier les outils d’analyse courants.
Un système de plugins qui permet à VoidLink d’évoluer d’un implant à un framework de post-exploitation complet.
La reconnaissance qui fournit un profilage détaillé du système et de l’environnement, l’énumération des utilisateurs et des groupes, la découverte des processus et des services, la cartographie du système de fichiers et des montages, et la cartographie de la topologie réseau locale et des interfaces.
La collecte d’informations d’identification des clés SSH, des mots de passe et des cookies stockés par les navigateurs, des identifiants git, des jetons d’authentification, des clés API et des éléments stockés dans le trousseau système.
Sans indication que VoidLink cible activement des machines, aucune action immédiate n’est requise de la part des défenseurs, bien qu’ils puissent obtenir des indicateurs de compromission à partir de l’article de blog de Checkpoint. VoidLink indique néanmoins que les défenseurs doivent faire preuve de vigilance lorsqu’ils travaillent avec des machines Linux.
