Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
# ok
Posté par octane . Évalué à 3 (+1/-0).
Alors arstechnica c'est juste du blabla. La source la plus directe, c'est un blog de Checkpoint:
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
on trouve une mention du stage0 sur une sandbox, datant du 13 janvier: https://www.joesandbox.com/joereverser/analysis/download/50fc7ff6-2f3d-4d70-8120-312fb3ecb803?type=html
et du stage1 ici https://corelab.tech/hunting-voidlink-how-i-caught-a-supply-chain-attack-in-my-homelab/
==> conclusion, il faut courir dans tous les sens en levant les bras au ciel en disant omg omg omg, puis ensuite aller scanner toutes ses machines.
[^] # Re: ok
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+0/-1).
Ou pour plus de blabla : https://linux.developpez.com/actu/379229/VoidLink-un-framework-malveillant-Linux-jusqu-alors-inconnu-et-bien-plus-avance-que-la-plupart-des-maliciels-Linux-connus-il-est-concu-pour-permettre-un-acces-furtif-et-durable-aux-reseaux-compromis/
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.