Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
VoidLink è un rootkit per Linux avanzato, progettato per ambienti cloud, capace di nascondere processi, connessioni e moduli grazie a un'architettura moldulare ed ibrida LKM ed eBPF. E' stato sviluppato con workflow assistiti dall'intelligenza artificiale generativa, ed integra tecniche di evasione sofisticate, canali C2 via ICMP e meccanismi anti-debugging. La sua evoluzione in più generazioni mostra un salto qualitativo nella creazione di malware kernel-level, abbassando drasticamente la barriera tecnica per attori malevoli.
Il malware VoidLink sta evolvendo e non è più un semplice malware, ma un cambio di paradigma. Una analisi svolta recentemente sul suo codice sorgente e sui moduli compilati, rivela un ecosistema creato per infiltrarsi nelle reti Linux e restare al loro intero in modo invisibile.
Non si parla più solo di tecnica, ma del metodo al centro. Il framework, documentato inizialmente da Check Point Research, mostra segni evidenti di uno sviluppo assistito dalle intelligenze artificiali generative, con un singolo operatore che risulta essere in grado di costruire un nuovo impianto completo in meno di una settimana.
Il cuore di VoidLink è l’architettura ibrida. Da un lato c’è un Loadable Kernel Module, dall’altro un componente eBPF e questa sembrerebbe una combinazione piuttosto rara e pericolosa. Il modulo kernel gestisce delle “manipolazioni” profonde: hooking delle syscall, processi e canali di comando nascosti via ICMP. L’eBPF, invece, opera in modo più chirurgico, alterando le risposte del sistema per rendere invisibili tutte le connessioni di rete, persino al comando “ss”.
Lo scenario apre un problema serio, ovvero che i sistemi di difesa tradizionali si basano su una visione parziale del problema e VoidLink sfrutta proprio questa frammentazione. Se netstat vede qualcosa, ss potrebbe non vederlo e viceversa.
L’evoluzione dei rootkit è significativa e parte dalla manipolazione diretta della syscall table su CentOS 7 fino a tecniche avanzate basate su ftrace e kprobe nei kernel moderni. L’ultima versione, definita “Ultimate Stealth v5“, introduce dei ritardi nell’attivazione e nella protezione dei processi e offuscamento dinamico.
Il canale C2 inoltre è stato realizzato utilizzando ICMP eliminando qualsiasi porta aperta. I comandi al malware arrivano attraverso pacchetti apparentemente innocui e cifrati con XOR. Semplice, efficace, difficile da intercettare ed estremamente pericoloso. Eppure molti continuano a fidarsi dei controlli perimetrali quando la vera falla non è più il software del fornitore, ma l’eccessiva fiducia nelle configurazioni di default.
L’uso dell’intelligenza artificiale nello sviluppo è in questo caso il vero spartiacque. Sono presenti commenti, iterazioni numerate, tentativi successivi di sviluppo documentati nel codice. Tutto indica un processo “prompt-centrico” tipico dei modelli linguistici che diventa nei fatti una pratica operativa.
Anche se i dati dicono il contrario, non serve più essere dei grandi esperti di kernel developer per costruire dei rootkit avanzati. Serve metodo e strumenti di intelligenza artificiale generativa affidabili. Le tecniche di evasione, inoltre, completano il quadro con un anti-debugging attivo: il malware si maschera come un driver AMD. Per i dettagli, l’analisi è stata svolta da Elastic Security Labs.
La domanda ora è diversa: non se vedremo altri VoidLink, ma quanto questi saranno veloci a nascere.
