- 26,765
- 46
- 8 Ноя 2022
Вредонос OrBit четыре года заражал серверы под видом уникальной разработки.
Linux-вредонос OrBit, который почти четыре года скрытно заражает серверы и крадёт пароли, оказался вовсе не уникальной разработкой. Специалисты Intezer выяснили , что злоумышленники годами используют слегка изменённую версию открытого проекта Medusa, опубликованного на GitHub ещё в 2022 году. За это время вредонос попал в арсенал сразу нескольких хакерских группировок, включая вымогателей и участников шпионских кампаний.
Впервые OrBit описали летом 2022 года как сложный Linux-руткит, который внедряется в системные библиотеки, скрывает процессы, файлы и сетевые подключения, а также перехватывает пароли от SSH и sudo. Вместо связи с управляющим сервером злоумышленники подключались к заражённым машинам через встроенный SSH-бэкдор. Вредонос прятал собственные файлы внутри системы и подменял работу более чем 40 системных функций Linux.
Теперь специалисты проанализировали десятки образцов OrBit, загруженных на VirusTotal с 2022 по 2026 год, и обнаружили две основные ветки вредоноса. Первая, которую условно назвали Lineage A, содержит полный набор возможностей: кражу учётных данных, скрытие сетевой активности, обход журналирования и перехват сетевого трафика. Вторая ветка, Lineage B, оказалась облегчённой версией без части функций. Авторы убрали перехват PAM-аутентификации, скрытие TCP-портов и сетевой анализатор, чтобы уменьшить размер и заметность вредоноса.
За несколько лет операторы регулярно меняли встроенные логины и пароли, пути установки и ключи шифрования строк. Некоторые сборки содержали откровенно провокационные названия каталогов вроде /lib/fuckwhitehatshome/, а другие маскировались под системные директории Linux.
В 2023 году злоумышленники добавили функцию xread, которая позволяла обходить собственные перехваты системных вызовов и не ломать работу программ вроде Git. Без такой доработки вредонос мог случайно выдать своё присутствие из-за сбоев в сетевых соединениях и чтении файлов.
В 2025 году OrBit получил особенно опасное обновление. Вредонос научился вмешиваться в серверную часть PAM-аутентификации через функцию pam_sm_authenticate. Благодаря такому механизму злоумышленники могут не только красть пароли, но и самостоятельно разрешать или блокировать вход в систему.
Тогда же появилась новая схема заражения. Вместо простого установщика операторы начали использовать двухэтапный загрузчик. Первый компонент заражал ELF-файлы Linux и прописывал задания cron, которые скачивали дополнительные модули с домена cf0[.]pw. Второй компонент уже устанавливал сам руткит через ld.so.preload. По сути, OrBit впервые получил полноценный канал удалённого управления.
Специалисты также нашли связь между новым загрузчиком OrBit и ботнетом RHOMBUS, замеченным ещё в 2020 году. Оба вредоноса использовали одинаковую архитектуру и один и тот же домен для загрузки полезной нагрузки.
Дополнительный интерес вызвала связь OrBit с несколькими известными группировками. По данным CrowdStrike, вредонос использовала группа BLOCKADE SPIDER для скрытого закрепления в инфраструктуре VMware перед развёртыванием вымогателя Embargo . В отчётах Mandiant тот же набор инструментов фигурирует в операциях китайской шпионской группы UNC3886 против инфраструктуры Juniper и VMware.
Анализ исходного кода показал, что практически все «новые» возможности OrBit уже присутствовали в открытом проекте Medusa с момента публикации. Операторы лишь включали или отключали нужные модули при сборке. Авторы исследования пришли к выводу, что развитие OrBit больше напоминает настройку готового конструктора, чем создание нового вредоносного ПО.
При этом первый образец OrBit появился ещё за несколько месяцев до публикации Medusa на GitHub. Специалисты считают, что авторы либо использовали закрытую версию проекта до публичного релиза, либо исходный код долгое время распространялся среди ограниченного круга операторов.
Linux-вредонос OrBit, который почти четыре года скрытно заражает серверы и крадёт пароли, оказался вовсе не уникальной разработкой. Специалисты Intezer выяснили , что злоумышленники годами используют слегка изменённую версию открытого проекта Medusa, опубликованного на GitHub ещё в 2022 году. За это время вредонос попал в арсенал сразу нескольких хакерских группировок, включая вымогателей и участников шпионских кампаний.
Впервые OrBit описали летом 2022 года как сложный Linux-руткит, который внедряется в системные библиотеки, скрывает процессы, файлы и сетевые подключения, а также перехватывает пароли от SSH и sudo. Вместо связи с управляющим сервером злоумышленники подключались к заражённым машинам через встроенный SSH-бэкдор. Вредонос прятал собственные файлы внутри системы и подменял работу более чем 40 системных функций Linux.
Теперь специалисты проанализировали десятки образцов OrBit, загруженных на VirusTotal с 2022 по 2026 год, и обнаружили две основные ветки вредоноса. Первая, которую условно назвали Lineage A, содержит полный набор возможностей: кражу учётных данных, скрытие сетевой активности, обход журналирования и перехват сетевого трафика. Вторая ветка, Lineage B, оказалась облегчённой версией без части функций. Авторы убрали перехват PAM-аутентификации, скрытие TCP-портов и сетевой анализатор, чтобы уменьшить размер и заметность вредоноса.
За несколько лет операторы регулярно меняли встроенные логины и пароли, пути установки и ключи шифрования строк. Некоторые сборки содержали откровенно провокационные названия каталогов вроде /lib/fuckwhitehatshome/, а другие маскировались под системные директории Linux.
В 2023 году злоумышленники добавили функцию xread, которая позволяла обходить собственные перехваты системных вызовов и не ломать работу программ вроде Git. Без такой доработки вредонос мог случайно выдать своё присутствие из-за сбоев в сетевых соединениях и чтении файлов.
В 2025 году OrBit получил особенно опасное обновление. Вредонос научился вмешиваться в серверную часть PAM-аутентификации через функцию pam_sm_authenticate. Благодаря такому механизму злоумышленники могут не только красть пароли, но и самостоятельно разрешать или блокировать вход в систему.
Тогда же появилась новая схема заражения. Вместо простого установщика операторы начали использовать двухэтапный загрузчик. Первый компонент заражал ELF-файлы Linux и прописывал задания cron, которые скачивали дополнительные модули с домена cf0[.]pw. Второй компонент уже устанавливал сам руткит через ld.so.preload. По сути, OrBit впервые получил полноценный канал удалённого управления.
Специалисты также нашли связь между новым загрузчиком OrBit и ботнетом RHOMBUS, замеченным ещё в 2020 году. Оба вредоноса использовали одинаковую архитектуру и один и тот же домен для загрузки полезной нагрузки.
Дополнительный интерес вызвала связь OrBit с несколькими известными группировками. По данным CrowdStrike, вредонос использовала группа BLOCKADE SPIDER для скрытого закрепления в инфраструктуре VMware перед развёртыванием вымогателя Embargo . В отчётах Mandiant тот же набор инструментов фигурирует в операциях китайской шпионской группы UNC3886 против инфраструктуры Juniper и VMware.
Анализ исходного кода показал, что практически все «новые» возможности OrBit уже присутствовали в открытом проекте Medusa с момента публикации. Операторы лишь включали или отключали нужные модули при сборке. Авторы исследования пришли к выводу, что развитие OrBit больше напоминает настройку готового конструктора, чем создание нового вредоносного ПО.
При этом первый образец OrBit появился ещё за несколько месяцев до публикации Medusa на GitHub. Специалисты считают, что авторы либо использовали закрытую версию проекта до публичного релиза, либо исходный код долгое время распространялся среди ограниченного круга операторов.
- Источник новости
- www.securitylab.ru
