Los investigadores de seguridad han identificado un marco innovador que pone en peligro los sistemas Linux al desplegar una variedad diversa de módulos, cada uno notable por sus capacidades avanzadas y favorables para los atacantes.
Apodado VoidLink por su código fuente, este marco incluye más de 30 módulos que pueden adaptarse a los requisitos del atacante en máquinas comprometidas. Estos módulos mejoran la furtividad y facilitan herramientas para el reconocimiento, la escalada de privilegios y el movimiento lateral dentro de redes infiltradas, permitiendo a los atacantes modificar fácilmente su arsenal a medida que sus objetivos evolucionan a lo largo de una campaña.
Un Enfoque en Linux en la Nube
VoidLink se destaca por su capacidad para apuntar a sistemas en plataformas en la nube populares al determinar si una máquina infectada reside en entornos como AWS, GCP, Azure, Alibaba o Tencent. Los desarrolladores de VoidLink han indicado planes para extender sus capacidades para detectar Huawei, DigitalOcean, y Vultr en versiones futuras. Estas detecciones se basan en el análisis de metadatos a través de la API del proveedor de la nube.
Aunque marcos como este han apuntado previamente a servidores Windows, son relativamente raros en sistemas Linux. Los profesionales de seguridad de Checkpoint, la firma que descubrió VoidLink, señalaron que las extensas características del marco son "mucho más avanzadas que el malware típico de Linux". El desarrollo de VoidLink significa un cambio en el enfoque de los atacantes, ahora cada vez más abarcando sistemas Linux, infraestructuras en la nube y configuraciones de despliegue de aplicaciones, a medida que las organizaciones trasladan regularmente cargas de trabajo a estos entornos.
"VoidLink es un ecosistema integral diseñado para mantener un acceso prolongado y encubierto a sistemas Linux comprometidos, particularmente aquellos que operan en plataformas de nube pública y en entornos contenedorizados," elaboraron los investigadores en una publicación de seguimiento. "Su diseño indica un grado de estrategia e inversión generalmente asociado con actores de amenazas profesionales, en lugar de atacantes oportunistas, lo que aumenta los desafíos para los defensores que podrían permanecer ajenos a la toma silenciosa de su infraestructura."