VoidLink: Cloud-native Linux-Malware mit Selbstzerstörung aus China

Security-Experten haben ein neues Cloud-basiertes Malware-Framework entdeckt, dass sich speziell gegen Linux richtet. Der perfide Schädling VoidLink versteckt sich hinter In-Memory-Schutzmechanismen und ist zudem in der Lage, sich dynamisch anzupassen und sich bei Bedarf auch selbst zu zerstören.

VoidLink nutzt mehrere Mechanismen zur Betriebssicherheit (OPSEC), darunter Laufzeit-Codeverschlüsselung, Selbstlöschung bei Manipulation und adaptives Verhalten basierend auf der erkannten Umgebung, sowie eine Reihe von Rootkit-Funktionen auf Benutzerebene und Kernel-Ebene. (Foto: Check Point)

Die Sicherheitsforscher von Check Point haben mit VoidLink ein neues Cloud-natives Linux-Malware-Framework aufgespürt. Ziel des wohl in China dediziert für die Kompromittierung Linux-basierter Cloud-Umgebungen konzipierten Schädlings ist es, sich über Lücken in der Transparenz und inkonsistente Sicherheitsmaßnahmen in Cloud-Umgebungen unbemerkt in die Infrastruktur einzubetten, um später bei Bedarf Daten stehlen, tiefer in die Systeme vordringen oder direkte Angriffe für Zwecke wie Betriebsstörungen auslösen zu können. Dabei kann er sein Verhalten dynamisch an die Umgebung anpassen, ein Novum bei Linux-Malware. Um nicht vorzeitig entdeckt zu werden, versteckt VoidLink seine schädlichen Komponenten unter anderem hinter In-Memory-Schutzmechanismen. Erkennt die Malware Analysen oder Manipulationsversuche zur Bereinigung, kann sie sich zudem automatisch selbst zerstören. Durch diese Taktiken ist der Schädling nur äußerst schwer zu enttarnen, bereinigen und untersuchen.

Doch VoidLink ist nicht nur ein besonders perfider Schädling, er belegt zugleich eine besorgniserregende strategische Wende bei den Cyberkriminellen. Hatten diese sich bisher, allein schon aufgrund ihrer großen Angriffsflächen, vor allem auf die Windows-Welt fokussiert, nehmen sie zunehmend die für kritische Cloud-Dienste, -Anwendungen und -Systeme wichtige Infrastruktur im Hintergrund ins Visier. Diese basiert meist auf Linux und stellt grundlegende Cloud-Funktionen bereit, die Unternehmen, Regierungen und Organisationen brauchen, um ihre Geschäfte betreiben und Aufgaben wahrnehmen zu können. An diesen zentralen Stellen der Cloud versuchen sich die Schädlinge heimlich und unauffällig einzunisten und zu verstecken, um zu einem späteren Zeitpunkt zuschlagen zu können.

"VoidLink veranschaulicht, wie sich Cyber-Angriffe von kurzlebigen Sicherheitsverletzungen zu stillen Kompromittierungen auf Infrastrukturebene entwickeln", bestätigt Eli Smadja, Head of Research bei Check Point Research. Der Experte empfiehlt: "Um sich gegen diese Bedrohungen zu schützen, muss die präventive Sicherheit auf Cloud- und Linux-Umgebungen ausgeweitet werden, mit kontinuierlicher Transparenz, Echtzeit-Bedrohungsinformationen und Schutzmaßnahmen, die speziell für Cloud-native Workloads entwickelt wurden."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden