Необикновен вирус за Linux изненада експертите по киберсигурност

Стоян Ненов Последна промяна на 16 януари 2026 в 19:08 2092 0

Необикновен вирус за Linux изненада експертите по киберсигурност

Снимка Gabriel Heinzer/Unsplash

Необикновен вирус за Linux изненада експертите по киберсигурност

Експертите по киберсигурност бяха изненадани от откриването на сложен, невиждан досега зловреден софтуер за Linux, който разбива калъпа на типичните заплахи, съобщава Ars technica. Временно наречен VoidLink, вирусът представлява скок в инженерството, който заплашва инфраструктурата на съвременния интернет и облачните изчисления.

За разлика от много традиционни заплахи за Linux, които често разчитат на прости скриптове или тясна функционалност, като например крипто-копаене или участие в ботнет мрежи, VoidLink е пълнофункционална рамка с над 30 различни модула, предназначени да поддържат голямо разнообразие от задачи. Изследователи от фирмата за киберсигурност Check Point, които са открили кода, отбелязват, че структурата и възможностите на рамката наподобяват тези на напредналите инструментариуми, обикновено използвани срещу Windows системи, а не на по-простия Linux зловреден софтуер, наблюдаван в миналото.

Определящата характеристика на тази нова заплаха е способността ѝ да работи почти изцяло в ядрото на Linux. Зловредният софтуер използва нов метод за „закачане на ниво ядро“, който му позволява да прихваща системни повиквания и да скрие присъствието си от стандартните инструменти за сигурност, включително популярните EDR (Endpoint Detection and Response) платформи.

Кодът на зловредния софтуер променя сигнатурата си всеки път, когато се репликира, което прави традиционните антивирусни бази данни безполезни. Той се намира почти изцяло в системната памет (RAM) и използва персонализиран слой за криптиране, за да предотврати изследователите да извлекат паметта, за да анализират кода.

За да открадне данни, VoidLink не използва стандартни портове. Вместо това, той се „прикачва“ към легитимен изходящ трафик, като DNS заявки или NTP (Network Time Protocol) синхронизации, което прави комуникацията му невидима за защитните стени.

VoidLink може да определи дали компрометираната система работи с популярни облачни услуги като AWS, Azure, Google Cloud, Alibaba и Tencent. Това се прави чрез заявки към API на облачни метаданни. Техника, която нападателите биха могли да използват, за да адаптират стратегията си към средата.

Вирусът включва техники за отстраняване на грешки и проверки за целостта, предназначени да осуетят анализа от инструменти за сигурност и изследователи. Един от модулите му може да краде SSH ключове, пароли, токени за удостоверяване, API ключове и бисквитки на браузъра. Този модулен дизайн означава, че VoidLink не е единична статична заплаха, а гъвкава екосистема, която може да бъде пригодена за различни цели - от скрит дългосрочен достъп и кражба на информация до потенциално превземане на множество компютри и ескалация на привилегиите.

Това, което най-много тревожи изследователите, е профилът на насочване на зловредния софтуер. VoidLink изглежда е специално проектиран за високопроизводителни облачни среди, включително тези, захранвани от най-новите процесори Intel 18A и AMD 9000. Той включва специализирани модули за идентифициране и насочване към Docker и Kubernetes среди. Това предполага, че нападателите не търсят бърза печалба чрез криптовируси. Вместо това, целта изглежда е дългосрочен, неоткриваем достъп до фирмени данни, интелектуална собственост и чувствителни правителствени комуникации, съхранявани в облачни хранилища.

Откритието предизвика спешна реакция в цялата Linux общност. Поддръжниците на отворен код в момента работят върху пачове за ядрото на Linux, за да отстранят специфичните уязвимости, използвани от механизма на VoidLink. Междувременно, доставчици на облачни услуги като AWS, Microsoft Azure и Google Cloud са започнали да внедряват „поведенчески“ скриптове, за да идентифицират фините аномалии във времето, причинени от имитацията на трафика на зловредния софтуер.

Към момента на публикуване на доклада няма признаци VoidLink да е заразявал машини в реално време и е открит в клъстери от образци на зловреден софтуер, качени във VirusTotal, а не в активни кампании. Въпреки това изследователите предупреждават, че дизайнът и разширеният набор от функции на зловреден софтуер предполагат, че професионалните злонамерени лица инвестират в разработването на инструменти за Linux, което означава, че защитниците трябва да обърнат внимание.

За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !