Rootkit Linux LinkPro usa eBPF para furtividade e ativação remota via "pacotes TCP mágicos"

Uma investigação detalhada sobre o comprometimento de uma infraestrutura hospedada na Amazon Web Services (AWS) levou Pesquisadores da Synacktiv à descoberta de um novo e altamente sofisticado rootkit para GNU/Linux, batizado de LinkPro. Este backdoor inédito se destaca pelo uso estratégico do Extended Berkeley Packet Filter (eBPF) para atingir dois objetivos cruciais: a ocultação de suas operações e a ativação remota por meio de um "pacote mágico" TCP específico.

"Este backdoor apresenta funcionalidades baseadas na instalação de dois módulos eBPF, por um lado para se ocultar e, por outro, para ser ativado remotamente ao receber um 'pacote mágico'", explicou o Pesquisador de segurança Théo Letailleur.

A infecção inicial, segundo a empresa francesa de segurança cibernética, começou com a exploração de um servidor Jenkins exposto e vulnerável ao CVE-2024-23897 (pontuação CVSS: 9,8). A partir deste ponto de partida, os invasores implantaram uma imagem maliciosa do Docker Hub, denominada "kvlnt/vv" (já removida), em vários clusters do Kubernetes.

A imagem do Docker serviu como base para a entrega de uma cadeia de ferramentas maliciosas. Ela continha um script de shell (start.sh) e dois binários: link, um programa open-source (vnt) que funciona como um servidor VPN e proxy, conectando-se a vnt.wherewego[.]top:29872, permitindo que o hacker estabeleça um túnel a partir de qualquer lugar; e app, um downloader baseado em Rust (vGet) que buscava uma payload criptografada VShell de um bucket S3, estabelecendo comunicação com seu próprio servidor de comando e controle (C2) em 56.155.98[.]37 via WebSocket.

Posteriormente, duas outras cepas de malware foram entregues aos nós do Kubernetes: um dropper que incorporava outro backdoor VShell e o próprio LinkPro, o rootkit escrito em Golang.

O rootkit LinkPro pode operar em dois modos: passivo (reverso) ou ativo (encaminhamento). No modo passivo, ele só escuta comandos do C2 após receber um pacote TCP específico, enquanto no modo ativo, ele inicia o contato diretamente com o servidor C2, suportando cinco protocolos de comunicação distintos.

A sequência de eventos de instalação e ocultação é metódica: primeiro, é instalado o módulo eBPF "Hide", que utiliza programas eBPF dos tipos Tracepoint e Kretprobe para ocultar processos e atividades de rede do rootkit.

Caso a instalação eBPF falhe, o rootkit recorre a um método alternativo, instalando a biblioteca compartilhada libld.so via /etc/ld.so.preload. Esse método garante que a biblioteca seja carregada por quase todos os programas que usam bibliotecas compartilhadas (como a glibc), permitindo que o rootkit intercepte e modifique chamadas de sistema como getdents (ocultação de arquivos) e sys_bpf para esconder sua presença no sistema de arquivos e no kernel.

O recurso mais engenhoso do LinkPro é sua ativação sob demanda. Se configurado para o modo reverso, ele instala o módulo eBPF "Knock", que contém programas eBPF dos tipos eXpress Data Path (XDP) e Traffic Control (TC). Este módulo aguarda um pacote TCP mágico, que, segundo a Synacktiv, é definido por ter um tamanho de janela de 54321.

Ao detectar o pacote mágico, o módulo "Knock" salva o endereço IP de origem e inicia uma janela de tempo de uma hora para comunicação. O módulo monitora então pacotes TCP subsequentes desse IP. Crucialmente, o módulo "Knock" foi projetado para modificar o cabeçalho do pacote TCP de entrada, substituindo a porta de destino original pela porta de escuta do LinkPro (2333) e alterando a porta de origem do pacote de saída (2233) para a porta original.

"O objetivo dessa manobra é permitir que o operador ative a recepção de comandos para o LinkPro passando por qualquer porta autorizada pelo firewall front-end," detalhou Synacktiv. "Isso também torna a correlação entre os logs do firewall e a atividade de rede do host comprometido mais complexa."

O LinkPro suporta uma gama de comandos, incluindo a execução de shells, operações de arquivo, download de arquivos e a configuração de um túnel proxy SOCKS5. Embora a autoria do ataque seja desconhecida, a natureza e o escopo das ferramentas sugerem hackers com motivações financeiras.

Via - THN