VoidLink: إطار عمل خبيث متطور يستهدف أنظمة لينكس والبيئات السحابية بقدرات استثنائية
اكتشاف مالوير VoidLink الجديد يثير قلقًا بشأن أمن لينكس والسحابة بقدراته المتقدمة ووحداته المتعددة
كشف باحثون عن إطار عمل خبيث جديد لم يسبق له مثيل، يستهدف أنظمة لينكس ويصيبها بمجموعة واسعة من الوحدات المتقدمة، مانحًا المهاجمين قدرات استثنائية.
يُعرف هذا الإطار، الذي أطلق عليه اسم VoidLink في شيفرته المصدرية، بأكثر من 30 وحدة نمطية. تتيح هذه الوحدات تخصيص القدرات بدقة لتلبية احتياجات المهاجمين في كل جهاز مصاب، موفرة مستويات إضافية من التخفي وأدوات متخصصة للاستطلاع، ورفع الامتيازات، والتحرك الجانبي ضمن الشبكات المخترقة. مرونة التصميم تسمح بإضافة المكونات أو إزالتها بسهولة مع تغير أهداف الحملة.
تركيز متزايد على لينكس في البيئات السحابية
يستطيع VoidLink استهداف الأجهزة ضمن الخدمات السحابية الرائدة، حيث يكشف ما إذا كان الجهاز المصاب مستضافًا على منصات مثل AWS، وGCP، وأزور، وعلي بابا، وتينسنت. وتشير الدلائل إلى خطط المطورين لإضافة قدرات كشف لمنصات هواوي وديجيتال أوشن وفولتير في الإصدارات المستقبلية. يعتمد الإطار على فحص البيانات الوصفية (metadata) باستخدام واجهة برمجة التطبيقات (API) الخاصة بكل مزود خدمة سحابية لتحديد مكان الاستضافة.
بينما ازدهرت أطر عمل مماثلة تستهدف خوادم ويندوز لسنوات، فإن وجودها على أنظمة لينكس أقل شيوعًا. مجموعة الميزات التي يقدمها VoidLink واسعة بشكل غير معتاد، وتعتبر «أكثر تقدمًا بكثير من برمجيات لينكس الخبيثة التقليدية»، وفقًا لباحثين من شركة Check Point الأمنية، التي اكتشفت هذا الإطار. يشير ظهوره إلى أن تركيز المهاجمين يتسع باطراد ليشمل أنظمة لينكس، والبنى التحتية السحابية، وبيئات نشر التطبيقات، مع تزايد اعتماد المؤسسات على هذه البيئات لأعباء عملها.
وفي منشور منفصل، وصف الباحثون VoidLink بأنه «نظام بيئي شامل مصمم للحفاظ على وصول طويل الأمد ومتخفٍ إلى أنظمة لينكس المخترقة، خاصة تلك التي تعمل على منصات السحابة العامة وفي بيئات الحاويات». وأضافوا أن «تصميمه يعكس مستوى من التخطيط والاستثمار يرتبط عادة بالجهات الفاعلة المهنية في التهديدات، وليس بالمهاجمين الانتهازيين، مما يرفع من التحدي أمام المدافعين الذين قد لا يدركون أبدًا أن بنيتهم التحتية قد تم الاستيلاء عليها بهدوء».
