VoidLink rootkit koristi eBPF i kernel module za prikriven rad na Linuxu
Cyber Press piše da je VoidLink napredan Linux malware okvir namenjen prikrivenom radu u cloud i serverskim okruženjima, sa hibridnom arhitekturom koja spaja kernel modul i eBPF programe. Prema tekstu, malware se predstavlja kao legitimni AMD kernel modul, skriva procese i fajlove, koristi ICMP kanal za tihu komunikaciju i cilja više Linux distribucija. Dodatnu pažnju privlači tvrdnja da je razvoj ovog alata delom potpomognut AI alatima, ali uz jasno prisustvo ljudskog operatera u testiranju i operativnoj upotrebi.
Ovo je važno jer pokazuje da se napredni Linux rootkit alati sve više prilagođavaju cloud i serverskim okruženjima gde ih je teže uočiti klasičnim metodama. Spoj eBPF tehnika, kernel modula i legitimno izgledajućih komponenti dodatno otežava detekciju i spušta prag za razvoj složenog malwarea.
- Uključiti Secure Boot i kernel lockdown zaštitu gde god je to operativno moguće
- Pratiti neočekivano učitavanje kernel modula na produkcionim Linux serverima
- Pregledati aktivne eBPF programe i tražiti neuobičajene hookove i mrežno ponašanje
- Posebno analizirati ICMP saobraćaj koji odstupa od uobičajenog obrasca
- Povezivati više izvora telemetrije jer ovakve pretnje često izbegavaju jednostavnu detekciju po jednom indikatoru