1. Murcia.com
  2. Región de Murcia
  3. Empresa

Check Point Research alerta sobre VoidLink, el framework de malware cloud-native que convierte la infraestructura Linux en una superficie de ataque

Fuente:

Comentar
Check Point Research alerta sobre VoidLink, el framework de malware cloud-native que convierte la infraestructura Linux en una superficie de ataque

VoidLink es un marco de malware para Linux nativo de la nube, creado para mantener un acceso sigiloso y duradero a la infraestructura de la nube, en lugar de atacar puntos finales individuales.

Refleja un cambio en el enfoque de los atacantes, que se alejan de los sistemas Windows y se dirigen hacia los entornos Linux que alimentan los servicios en la nube y las operaciones críticas.

Su sigilo adaptativo le permite operar de forma diferente en función de las defensas, dando prioridad a la evasión en entornos supervisados y a la velocidad cuando la visibilidad es limitada.

Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado un nuevo y altamente avanzado framework de malware, denominado VoidLink, diseñado específicamente para operar dentro de entornos modernos en la nube basados en Linux. Mientras gran parte del panorama actual de ciberamenazas sigue centrado en sistemas Windows, VoidLink pone de manifiesto un cambio claro y preocupante hacia el ataque de la infraestructura que sustenta los servicios en la nube y los sistemas críticos de los que dependen las organizaciones para mantener en funcionamiento empresas, gobiernos y servicios esenciales. En manos de actores de amenazas cualificados, un framework como este puede convertir la propia infraestructura cloud en una superficie de ataque.

VoidLink es un ecosistema integral diseñado para mantener un acceso persistente, sigiloso y a largo plazo a sistemas Linux comprometidos, especialmente aquellos que se ejecutan en plataformas de nube pública y en entornos contenerizados. Su diseño refleja un nivel de planificación e inversión típicamente asociado a actores de amenazas profesionales, más que a atacantes oportunistas, lo que eleva considerablemente el riesgo para los defensores, que pueden no llegar a ser conscientes de que su infraestructura ha sido tomada de forma silenciosa.

A diferencia del malware tradicional que posteriormente se adapta a la nube, VoidLink parece haber sido concebido desde el inicio pensando en entornos cloud. Una vez desplegado, es capaz de identificar en qué proveedor de nube se está ejecutando, determinar si opera en entornos virtualizados o contenerizados y ajustar su comportamiento en consecuencia.

Esta conciencia del entorno cloud permite a los atacantes integrarse silenciosamente con la infraestructura legítima, haciendo que la actividad maliciosa sea mucho más difícil de detectar entre la actividad operativa normal. El framework está diseñado para el acceso prolongado, la vigilancia y la recopilación de datos, más que para una disrupción a corto plazo.

Una de las características definitorias de VoidLink es su arquitectura altamente modular. En lugar de actuar como una herramienta única y estática, VoidLink se comporta como una plataforma de ataque personalizable. Sus plugins pueden cargarse, intercambiarse o eliminarse bajo demanda, lo que permite a los operadores adaptar el framework a cada objetivo a medida que evoluciona la operación.

Durante la investigación se identificaron más de 30 plugins, que habilitan desde reconocimiento silencioso y robo de credenciales hasta movimiento lateral, abuso de contenedores y la eliminación de rastros forenses una vez completado el objetivo. Esta modularidad permite personalizar cada despliegue según el entorno objetivo y facilita una rápida evolución, añadiendo nuevas capacidades sin modificar el implante principal.

Sigilo adaptativo para entornos protegidos

VoidLink pone un fuerte énfasis en permanecer oculto. Evalúa la postura de seguridad del entorno en el que se ejecuta, identificando herramientas de monitorización, tecnologías de protección de endpoints y medidas de endurecimiento del sistema. En función de esta evaluación, adapta su nivel de agresividad.

En entornos bien protegidos, VoidLink prioriza el sigilo y reduce su actividad. En entornos con una monitorización limitada, puede operar con mayor libertad. Esta capacidad de ajustar dinámicamente su comportamiento es un factor clave que diferencia a VoidLink de otros tipos de malware Linux más convencionales.

El framework también incluye múltiples mecanismos de seguridad operacional diseñados para proteger a los propios atacantes, como la protección del código en tiempo de ejecución, que mantiene componentes clave ocultos en memoria, y un mecanismo automático de autodestrucción que elimina completamente el malware si se detecta manipulación o análisis.

El análisis sugiere que VoidLink es desarrollado y mantenido por actores de amenazas afiliados a China, aunque su afiliación exacta no está clara. El framework demuestra un alto nivel de pericia técnica, combinando múltiples lenguajes de programación, prácticas modernas de desarrollo y un profundo conocimiento de los entresijos del sistema operativo Linux.

La presencia de un servidor dedicado de comando y control y de una consola de gestión basada en web indica que VoidLink está pensado para un uso operativo real y no para simples pruebas. Se desconoce si se está preparando como una oferta comercial, una plataforma compartida o una herramienta personalizada para un cliente específico. En el momento de la investigación, no se observaron infecciones confirmadas en entornos reales.

Independientemente de su origen, históricamente los frameworks potentes de seguridad y pruebas han sido explotados por actores maliciosos. Cobalt Strike, una herramienta legítima de testing y operaciones de red team, fue ampliamente abusada por grupos de ransomware. VoidLink parece inspirarse en Cobalt Strike, dado su enfoque similar basado en una API ampliamente desarrollada.

VoidLink subraya un cambio más amplio en el foco de los atacantes. Los sistemas Linux, la infraestructura cloud y los entornos de despliegue de aplicaciones son cada vez más centrales en las operaciones empresariales. A medida que las organizaciones trasladan cargas de trabajo críticas a la nube, los actores de amenazas están invirtiendo en herramientas diseñadas específicamente para operar en estos entornos.

Frameworks como VoidLink están pensados para explotar brechas de visibilidad y suposiciones de seguridad, especialmente en entornos donde las protecciones tradicionales de endpoint pueden ser limitadas o estar desplegadas de forma inconsistente.

Lo que deben saber los defensores

Los equipos de seguridad deben tratar los sistemas Linux alojados en la nube como activos de alto valor. Esto incluye mejorar la visibilidad de las cargas de trabajo en la nube, monitorizar los entornos de aplicaciones y extender la detección de amenazas más allá de los endpoints tradicionales.

Aunque VoidLink aún puede considerarse emergente, su diseño ofrece una clara indicación de hacia dónde se dirigen las amenazas avanzadas.

Check Point Threat Emulation y Harmony Endpoint proporcionan protección integral en todos los sistemas operativos, tipos de archivos y técnicas de ataque, incluidas las tácticas avanzadas observadas en el framework VoidLink.

Check Point Research alerta sobre VoidLink, el framework de malware cloud-native que convierte la infraestructura Linux en una superficie de ataque - 1, Foto 1
Empresa
Murcia.com