Güvenlik araştırmacıları, Linux makinelerini hedef alan ve saldırganlara geniş bir yelpazede gelişmiş yetenekler sunan, daha önce hiç görülmemiş bir framework keşfetti. Kaynak kodunda VoidLink olarak adlandırılan bu framework, 30'dan fazla modül içeriyor. Bu modüller, her enfekte makine için saldırganların ihtiyaçlarına göre özelleştirilebiliyor; keşif, ayrıcalık yükseltme ve ele geçirilmiş bir ağ içinde yatay hareket gibi konularda ek gizlilik ve spesifik araçlar sağlıyor. Kampanya hedefleri değiştikçe bileşenler kolayca eklenip çıkarılabiliyor.
VoidLink, AWS, GCP, Azure, Alibaba ve Tencent gibi popüler cloud hizmetlerindeki makineleri hedefleyebiliyor. Enfekte bir makinenin hangi cloud hizmetinde barındırıldığını tespit etmek için ilgili satıcının API'sini kullanarak metadata'yı inceliyor. Checkpoint araştırmacıları, VoidLink'in özellik setinin alışılmadık derecede geniş ve "tipik Linux zararlı yazılımlarından çok daha gelişmiş" olduğunu belirtiyor. Bu durum, saldırganların odak noktasının, kuruluşların iş yüklerini bu ortamlara taşımasıyla birlikte Linux sistemlerine, cloud altyapısına ve uygulama dağıtım ortamlarına doğru genişlediğini gösteriyor.
Araştırmacılar, VoidLink'in "ele geçirilmiş Linux sistemlerine, özellikle genel cloud platformlarında ve container'lı ortamlarda çalışanlara, uzun vadeli ve gizli erişimi sürdürmek için tasarlanmış kapsamlı bir ekosistem" olduğunu vurguluyor. Tasarımı, fırsatçı saldırganlardan ziyade profesyonel tehdit aktörleriyle ilişkilendirilen bir planlama ve yatırım seviyesini yansıtıyor, bu da altyapılarının sessizce ele geçirildiğini asla fark edemeyebilecek savunucular için riskleri artırıyor.
Bu yeni ve gelişmiş Linux zararlı yazılımı, bulut tabanlı Linux sistemlerini hedef alarak siber güvenlik tehditlerinin evriminde önemli bir dönüm noktasını temsil ediyor ve profesyonel tehdit aktörlerinin bu alana artan ilgisini gösteriyor.