Um novo rootkit chamado LinkPro tem como alvo sistemas GNU/Linux, usando a tecnologia eBPF para ocultar atividades maliciosas e evadir detecção. Descoberto em uma infraestrutura AWS comprometida, ele se espalha por meio de servidores Jenkins vulneráveis e imagens Docker maliciosas. O malware fornece aos atacantes acesso remoto enquanto se disfarça de componentes legítimos do sistema.
O rootkit LinkPro surgiu como uma ameaça sofisticada para sistemas GNU/Linux, aproveitando módulos de Filtro de Pacotes Berkeley Estendido (eBPF) para ocultar processos, arquivos e atividades de rede. Pesquisadores da SynAcktiv o descobriram durante uma investigação forense de uma configuração hospedada na AWS violada, onde atuava como uma porta dos fundos capaz de ativação remota por meio de pacotes TCP mágicos específicos.
A infecção geralmente começa com um servidor Jenkins exposto vulnerável ao CVE-2024-23897. Atacantes então implantam uma imagem Docker maliciosa chamada kvlnt/vv em clusters Kubernetes Amazon EKS. Essa imagem inclui um proxy VPN, o malware downloader vGet e o próprio rootkit LinkPro. O contêiner executa com privilégios de root, concedendo acesso total ao sistema de arquivos, permitindo escapes para colher credenciais de outros pods.
Desenvolvido em Golang, o LinkPro opera em dois modos: um modo reverso passivo que escuta comandos após detectar um pacote TCP SYN com tamanho de janela de 54321, e um modo forward ativo para links diretos de comando e controle. Seu furtivo depende de dois módulos eBPF—o módulo Hide intercepta chamadas de sistema como getdents e sys_bpf para ocultar arquivos, processos e programas eBPF, enquanto o módulo Knock usa XDP e TC para manipulação de rede, redirecionando tráfego para uma porta interna 2233 e reescrevendo cabeçalhos para contornar firewalls.
Para persistência, o LinkPro se disfarça como o serviço systemd-resolved, criando um arquivo de unidade falso em /etc/systemd/system/systemd-resolved.service e colocando seu binário em /usr/lib/.system/.tmp~data.resolved com carimbos de data alterados. Se o suporte do kernel para CONFIG_BPF_KPROBE_OVERRIDE estiver ausente, ele recorre ao sequestro do linker dinâmico via /etc/ld.so.preload.
Uma vez ativo, oferece shells interativos, gerenciamento de arquivos, proxy SOCKS5 e exfiltração de arquivos codificados em Base64 sobre protocolos como HTTP, WebSocket, TCP, UDP e DNS, todos criptografados com XOR. As organizações são aconselhadas a monitorar arquivos systemd suspeitos e atividade eBPF para detecção.