Rootkit LinkPro usa eBPF para ocultar atividades maliciosas em sistemas GNULinux

BR Defense Center (By River de Morais e Silva)
malware

Um novo rootkit para Linux, chamado LinkPro, foi descoberto utilizando a tecnologia eBPF (Extended Berkeley Packet Filter) para ocultar sua presença e garantir persistência em sistemas comprometidos. A equipe de resposta a incidentes da Synacktiv (CSIRT) identificou o malware durante uma investigação em uma infraestrutura AWS comprometida. O LinkPro atuou como um backdoor discreto em clusters do Elastic Kubernetes Service (EKS) após a exploração de um servidor Jenkins exposto (CVE-2024-238976).

Desenvolvido em Go, o LinkPro utiliza dois módulos eBPF para gerenciar tanto a ocultação quanto a ativação de comandos. O módulo “Hide” intercepta chamadas de nível de kernel, filtrando listagens de diretórios e ocultando objetos BPF de ferramentas como bpftool. Quando a carga do eBPF falha, o malware recorre a um método de ocultação em espaço de usuário, injetando uma biblioteca libld.so para alterar as saídas de utilitários padrão, como netstat e ls.

Além disso, o módulo “Knock” implementa programas eBPF XDP e TC para interceptar pacotes de rede, permitindo a ativação do rootkit através de um “pacote mágico”. A persistência é garantida ao se disfarçar como um serviço legítimo do systemd, garantindo que o malware seja executado automaticamente na inicialização do sistema. O LinkPro é um exemplo da evolução do malware em Linux, utilizando técnicas sofisticadas para evasão e persistência.

Fonte: https://cyberpress.org/linkpro-rootkit-ebpf/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
17/10/2025 • Risco: ALTO
MALWARE

Rootkit LinkPro usa eBPF para ocultar atividades maliciosas em sistemas GNU/Linux

RESUMO EXECUTIVO
O LinkPro é um rootkit sofisticado que utiliza técnicas avançadas para ocultação e persistência em sistemas Linux, explorando uma vulnerabilidade conhecida. A sua capacidade de operar em ambientes de nuvem e a utilização de serviços comuns como o systemd tornam a ameaça relevante para empresas brasileiras, exigindo atenção e ações proativas para mitigação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos elevados relacionados à recuperação de dados e mitigação de danos.
Operacional
O rootkit permite execução de comandos, gerenciamento de arquivos e movimentação lateral em ambientes comprometidos.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços em Nuvem', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Uso de dois módulos eBPF para ocultação e ativação de comandos. Indicador
Comunicação com servidor de comando em 18.199.101.111. Contexto BR
Escuta na porta 2233. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e configurações de servidores Jenkins e AWS.
2 Aplicar patches para a CVE-2024-238976 e revisar configurações de segurança.
3 Monitorar tráfego de rede e atividades em sistemas críticos para detectar comportamentos anômalos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das ameaças em Linux, especialmente em ambientes de nuvem, onde a segurança pode ser comprometida por configurações inadequadas.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).