Un nouveau rootkit nommé LinkPro cible les systèmes GNU/Linux, utilisant la technologie eBPF pour masquer les activités malveillantes et échapper à la détection. Découvert dans une infrastructure AWS compromise, il se propage via des serveurs Jenkins vulnérables et des images Docker malveillantes. Le malware fournit aux attaquants un accès à distance tout en se faisant passer pour des composants système légitimes.
Le rootkit LinkPro est apparu comme une menace sophistiquée pour les systèmes GNU/Linux, exploitant des modules de filtre de paquets Berkeley étendu (eBPF) pour dissimuler les processus, fichiers et activités réseau. Des chercheurs de SynAcktiv l'ont découvert lors d'une enquête forensique sur une configuration hébergée AWS violée, où il agissait comme une porte dérobée capable d'activation à distance via des paquets TCP magiques spécifiques.
L'infection commence généralement par un serveur Jenkins exposé vulnérable à CVE-2024-23897. Les attaquants déploient ensuite une image Docker malveillante nommée kvlnt/vv à travers des clusters Kubernetes Amazon EKS. Cette image inclut un proxy VPN, le malware téléchargeur vGet et le rootkit LinkPro lui-même. Le conteneur s'exécute avec des privilèges root, accordant un accès complet au système de fichiers, permettant des évasions pour récolter des identifiants d'autres pods.
Développé en Golang, LinkPro opère en deux modes : un mode reverse passif qui écoute les commandes après détection d'un paquet TCP SYN avec une taille de fenêtre de 54321, et un mode forward actif pour des liens de commande et contrôle directs. Sa furtivité repose sur deux modules eBPF — le module Hide intercepte les appels système comme getdents et sys_bpf pour masquer les fichiers, processus et programmes eBPF, tandis que le module Knock utilise XDP et TC pour la manipulation réseau, redirigeant le trafic vers un port interne 2233 et réécrivant les en-têtes pour contourner les pare-feu.
Pour la persistance, LinkPro se fait passer pour le service systemd-resolved, créant un fichier d'unité factice à /etc/systemd/system/systemd-resolved.service et plaçant son binaire à /usr/lib/.system/.tmp~data.resolved avec des horodatages modifiés. Si le support du noyau pour CONFIG_BPF_KPROBE_OVERRIDE est absent, il recourt à l'usurpation du linker dynamique via /etc/ld.so.preload.
Une fois actif, il offre des shells interactifs, la gestion de fichiers, le proxy SOCKS5 et l'exfiltration de fichiers encodés en Base64 sur des protocoles comme HTTP, WebSocket, TCP, UDP et DNS, tous chiffrés avec XOR. Les organisations sont invitées à surveiller les fichiers systemd suspects et l'activité eBPF pour la détection.