يشكل برنامج التخفي الجديد والمتقدم تقنياً، المعروف باسم VoidLink rootkit، تهديداً خطيراً لأنظمة لينكس، حيث يجمع بين وحدات التحميل في النواة (LKMs) وبرامج فلتر الحزم الموسع (eBPF) للاختباء بعمق داخل قلب نظام التشغيل.
تم توثيق VoidLink، الذي تم الكشف عنه لأول مرة بواسطة Check Point Research في يناير 2026، كإطار عمل لبرمجيات خبيثة سحابية أصيلة لأنظمة لينكس مكتوب بلغة Zig. يتميز ببنية قيادة وتحكم معيارية تضم أكثر من 30 مكوناً إضافياً وطبقات متعددة للتخفي، مما يجعله واحداً من أكثر برامج التخفي فعالية لأنظمة لينكس التي شوهدت في السنوات الأخيرة.
تهديد VoidLink rootkit المتقدم
ما يجعل VoidLink مقلقاً هو سرعة تطويره. فقد اكتشف باحثو Check Point أن مطوراً واحداً أنتج الإطار الكامل بمساعدة الذكاء الاصطناعي باستخدام بيئة التطوير المتكاملة TRAE، مما أدى إلى تحويله من فكرة إلى برنامج عملي في أقل من أسبوع.
يخفي برنامج التخفي نفسه تحت اسم الوحدة vl_stealth، أو في بعض المتغيرات amd_mem_encrypt، متقمصاً دور برنامج تشغيل ذاكرة AMD شرعي لتجنب إثارة الشكوك على الخوادم السحابية.
كشف محللو Elastic Security Labs عن البنية الأعمق للبرمجية الخبيثة بعد الحصول على حزمة بيانات تحتوي على الكود المصدري لـ VoidLink، والملفات الثنائية المجمعة، وسكربتات النشر. لاحظ الباحثون أن الحزمة كشفت عن إطار عمل لبرنامج تخفي متعدد الأجيال تم تطويره واختباره عبر أنظمة حقيقية من CentOS 7 إلى Ubuntu 22.04.
كل ملف مصدر كان مشروحاً باللغة الصينية المبسطة، وأشارت مراجع البنية التحتية إلى عناوين IP خاصة بـ Alibaba Cloud، مما يربط العملية بقوة بجهة تهديد ناطقة باللغة الصينية. وبحسب التقرير، فإن هذا الربط يشير إلى وجود ارتباطات ببنية تحتية سحابية محددة.
آليات الاختباء المتطورة
يكمن التأثير الكبير لبرنامج التخفي هذا في قدرته على إخفاء العمليات الجارية، والاتصالات الشبكية، والملفات من مسؤولي النظام، بينما يتلقى الأوامر عبر قناة ICMP سرية دون منافذ مرئية أو حركة مرور ملحوظة. أحدث متغيراته، الملقب بـ Ultimate Stealth v5، يقدم تثبيت خطافات مؤجل، ومؤقتات لمكافحة التصحيح، وحماية من إنهاء العمليات، وأسماء وحدات مشفرة بـ XOR، مما يجعل التحقيق الجنائي صعباً للغاية.
VoidLink rootkit ليس أداة مستقلة. يمسح سكربت التحميل الخاص به، load_lkm.sh، بحثاً عن برامج مثبتة بدون ملفات تعمل من واصفات ذاكرة مجهولة ويخفيها عند التفعيل، مما يؤكد أن VoidLink مصمم لحماية برنامج مرافق مستتر – على الأرجح بمثابة قشرة عكسية – يعمل بالفعل على الهدف المخترق.
نظام تخفي بطبقتين
تعد الميزة الأكثر إثارة للإعجاب تقنياً لـ VoidLink هي تصميمه الهجين، الذي يقسم الواجبات بين مكونين مميزين. تعتمد معظم برامج التخفي لأنظمة لينكس على طريقة إخفاء واحدة – وحدة تحميل في النواة (LKM)، أو برنامج eBPF، أو مكتبة مشتركة محقونة. ينشر VoidLink كلاهما في وقت واحد، حيث يتولى كل مكون الدور الذي يؤديه بشكل موثوق.
باستخدام إطار تتبع وظائف نواة لينكس، يقوم مكون LKM بتنفيذ خطافات لاستدعاءات النظام، ويعترض قوائم الدلائل getdents64 لإخفاء الملفات والعمليات، ويقوم بتصفية مخرجات /proc/modules و /proc/kallsyms لمحو آثاره الخاصة. كما يقوم بتشغيل قناة أوامر سرية عبر خطافات Netfilter، ومعالجة تعليمات المشغل المشفرة بـ XOR المخفية داخل حزم ping العادية بصمت دون توليد رد.
يغطي مكون eBPF فجوة لا يمكن لـ LKM الوصول إليها: إخفاء الاتصالات النشطة من الأمر ss. على عكس netstat، الذي يقرأ من /proc/net/tcp، فإن أداة ss تستعلم عن النواة عبر مقابس Netlink – وهو مسار بيانات خارج سيطرة LKM. يقوم برنامج eBPF الخاص بـ VoidLink بتنفيذ خطافات لـ __sys_recvmsg وتعديل استجابات Netlink في ذاكرة مساحة المستخدم. بدلاً من حذف الإدخالات المخفية – مما قد يؤدي إلى إتلاف سلسلة الرسائل – يقوم بابتلاعها عن طريق توسيع حقل طول الرسالة السابقة، مما يتسبب في تخطي محلل ss للاتصال المخفي كحشو.
تطلب هذا النهج تكراراً حقيقياً للتطوير. عمل المطورون على ما لا يقل عن 10 إصدارات لبرامج eBPF – من hide_ss_v1.bpf.c إلى hide_ss_v9.bpf.c – قبل ظهور هذه الطريقة المستقرة، مما يدل على دورات اختبار حقيقية على أنظمة حية.
يجب على فرق الأمن اتخاذ عدة خطوات للحد من التعرض لبرامج التخفي مثل VoidLink. فرض الإقلاع الآمن وتوقيع وحدات النواة يمنع تحميل وحدات LKM غير المصرح بها. يحد تفعيل وضع قفل النواة، المتاح منذ لينكس 5.4، من عمليات النواة الحساسة حتى للمستخدمين ذوي الامتيازات الجذرية. فحص استدعاءات النظام init_module و finit_module عبر Auditd يكشف عن نشاط وحدات غير متوقع في وقت مبكر.
إن تقييد استدعاء النظام bpf() عبر ملفات تعريف seccomp وتمكين kernel.unprivileged_bpf_disabled يقلل من مخاطر إساءة استخدام eBPF. يمكن للمقارنة المنتظمة بين ps و ss وإدخالات دليل /proc المباشرة كشف النشاط المخفي حتى عندما لا تبلغ أدوات المراقبة الفردية عن أي شيء مريب.