Siber güvenlik dünyasında yeni bir gelişme yaşandı: Araştırmacılar, Linux makinelerini hedef alan ve daha önce hiç görülmemiş, oldukça gelişmiş bir kötü amaçlı yazılım (malware) çerçevesi keşfetti. Kaynak kodunda 'VoidLink' olarak adlandırılan bu çerçeve, saldırganlara geniş bir yelpazede gelişmiş yetenekler sunan 30'dan fazla modüle sahip.
Bu modüller, saldırganların ihtiyaçlarına göre özelleştirilebilen yetenekler sağlıyor. Gizliliği artırma, keşif, yetki yükseltme ve ele geçirilen bir ağ içinde yanal hareket gibi özellikler sunuyorlar. Ayrıca, saldırı hedefleri değiştikçe bu bileşenler kolayca eklenebiliyor veya kaldırılabiliyor.
Bulut Ortamlarındaki Linux Odaklı Tehdit
VoidLink, özellikle popüler bulut hizmetlerindeki Linux makinelerini hedef alabiliyor. AWS, GCP, Azure, Alibaba ve Tencent gibi platformları tespit edebiliyor ve gelecekte Huawei, DigitalOcean ve Vultr gibi platformları da eklemeyi planladığına dair işaretler bulunuyor. Makinenin hangi bulut hizmetinde barındığını anlamak için VoidLink, ilgili sağlayıcının API'sini kullanarak meta verileri inceliyor.
Windows sunucularını hedef alan benzer çerçeveler yıllardır yaygınken, Linux makineleri için bu tür gelişmiş tehditler daha az görülüyor. Keşfi yapan güvenlik firması araştırmacılarına göre, VoidLink'in özellik seti alışılmadık derecede geniş ve tipik Linux kötü amaçlı yazılımlarından çok daha ileri seviyede. Bu durum, saldırganların odağının giderek artan bir şekilde Linux sistemlerine, bulut altyapılarına ve uygulama dağıtım ortamlarına doğru genişlediğini gösteriyor; zira birçok kuruluş iş yüklerini bu ortamlara taşıyor.
Araştırmacılar, VoidLink'in özellikle halka açık bulut platformlarında ve konteynerize ortamlarda çalışan ele geçirilmiş Linux sistemlerine uzun süreli ve gizli erişim sağlamak üzere tasarlanmış kapsamlı bir ekosistem olduğunu belirtiyor. Tasarımı, fırsatçı saldırganlardan ziyade profesyonel tehdit aktörleriyle ilişkilendirilen bir planlama ve yatırım seviyesini yansıtıyor. Bu da, altyapılarının sessizce ele geçirildiğini fark etmeyebilecek savunucular için riskleri artırıyor.
VoidLink'in arayüzünün Çin ile bağlantılı operatörler için yerelleştirilmiş olması, muhtemelen Çin kaynaklı bir geliştirme ortamından geldiğini gösteriyor. Kaynak kodundaki semboller ve yorumlar, VoidLink'in hala geliştirme aşamasında olduğunu ima ediyor. Çerçevenin henüz tamamlanmadığının bir diğer işareti ise, şirket araştırmacılarının VirusTotal üzerinde bulduğu Linux kötü amaçlı yazılım kümeleri arasında bu tehdidin gerçek dünyada herhangi bir makineyi enfekte ettiğine dair hiçbir işaret bulamamış olması.
Bulunan ikili dosyalar arasında iki aşamalı bir yükleyici de yer alıyordu. Nihai yerleştirme (implant), çalıştırılma sırasında indirilen ve kurulan eklentilerle zenginleştirilebilen çekirdek modülleri barındırıyor. Bugüne kadar keşfedilen 37 modülün yetenekleri şunları içeriyor:
- Bulut odaklı yetenekler: Bulut tespiti dışında, bu modüller enfekte makine hakkında kapsamlı bilgiler topluyor, hipervizörünü numaralandırıyor ve Docker konteynerinde mi yoksa Kubernetes podunda mı çalıştığını tespit ediyor.
- Eklenti geliştirme API'leri: VoidLink, kötü amaçlı yazılım başlatıldığında kurulan geniş bir geliştirme API'si sunuyor.
- Adaptif gizlilik: VoidLink, kurulu güvenlik ürünlerini ve sertleştirme önlemlerini listeliyor.
- Sistem etkinliğiyle bütünleşmeyi sağlayan rootkit işlevleri.
- Meşru görünen dışa dönük ağ bağlantıları aracılığıyla uygulanan komuta ve kontrol mekanizması.
- Yaygın analiz araçlarını tespit etmek için anti-hata ayıklama teknikleri ve bütünlük kontrolleri kullanarak analize karşı koruma.
- Bir eklenti sistemi, VoidLink'in bir yerleştirmeden tam özellikli bir sömürü sonrası çerçevesine evrilmesini sağlıyor.
- Detaylı sistem ve ortam profillemesi, kullanıcı ve grup numaralandırması, işlem ve hizmet keşfi, dosya sistemi ve bağlama haritalaması ile yerel ağ topolojisi ve arayüzlerinin haritalanmasını sağlayan keşif yetenekleri.
- Tarayıcılar tarafından saklanan SSH anahtarları, parolalar ve çerezler, git kimlik bilgileri, kimlik doğrulama belirteçleri, API anahtarları ve sistem anahtar zincirinde saklanan öğelerin kimlik bilgisi toplama.
VoidLink'in aktif olarak makineleri hedeflediğine dair bir belirti olmamakla birlikte, savunucuların acil bir eylemde bulunmasına gerek yok. Yine de, Linux makineleriyle çalışırken dikkatli olunması gerektiğini gösteren bu gelişme, güvenlik konusunda uyanık olmayı gerektiriyor.
