Руткит OrBit для Linux: от «кастомного» малвара к повторно используемому открытому инструменту атак

Исследователи также установили, что OrBit может устанавливаться как постоянный имплант или как временная нагрузка в памяти, в зависимости от сценария атаки.

Как OrBit заражает систему Linux

В отличие от многих традиционных Linux‑малварей, OrBit не работает как обычный исполняемый файл. Вместо этого он вмешивается в механизм загрузки библиотек и перехватывает системные функции.

Он изменяет конфигурацию загрузчика или использует переменные среды вроде LD_PRELOAD, чтобы внедрять вредоносный код при запуске программ.

Такая архитектура даёт атакующим несколько преимуществ:

• вредоносный код выполняется внутри легитимных процессов
• поведение выглядит как обычная системная активность
• руткит может перехватывать команды и данные без явных следов

Исследования показывают, что OrBit способен перехватывать десятки системных функций, что позволяет ему отслеживать активность пользователей и красть учётные данные практически незаметно.

Поскольку заражённая библиотека подгружается множеством процессов, вредонос фактически распространяется по всей системе после установки.

Переоценка угрозы: от уникального вредоноса к форку

Изначально OrBit описывали как уникальный малварный инструмент. Однако последующие исследования показали, что он представляет собой модифицированный клон open‑source руткита Medusa.

Это существенно меняет картину угрозы.

Теперь речь идёт не о единичном вредоносе, поддерживаемом одной группой, а о форкаемой экосистеме, где злоумышленники могут:

• брать исходный код
• менять конфигурацию
• добавлять небольшие модификации
• запускать собственные кампании

Аналитики наблюдали использование похожих вариантов на протяжении нескольких лет, что указывает на повторное использование кода различными операторами атак.

При этом в доступных публичных источниках нет подтверждённой атрибуции OrBit конкретным группировкам — вероятно, его используют разные акторы.

Возможности, наблюдавшиеся в кампаниях OrBit

Несмотря на различия между вариантами, в отчётах исследователей регулярно повторяются несколько ключевых функций.

Кража учётных данных

Руткит способен перехватывать SSH‑и sudo‑аутентификацию, позволяя злоумышленникам повышать привилегии и перемещаться по инфраструктуре Linux‑серверов.

Перехват системных функций

OrBit внедряется в shared‑библиотеки и может влиять как на уже запущенные процессы, так и на новые программы, стартующие в системе.

Логирование команд

Вредонос записывает команды, выполняемые пользователями, а также их вывод. В некоторых случаях данные сохраняются в скрытых файлах — например, /tmp/.orbit.

Скрытность и обход защиты

Работа внутри легитимных процессов и перехват системных функций позволяют OrBit избегать обнаружения традиционными средствами защиты.

Методы распространения: что известно

Публичные исследования подробно описывают поведение OrBit после установки, но информации о первичном проникновении значительно меньше.

Подтверждённые факты:

• для полноценной установки требуются повышенные привилегии (root)
• вредонос может работать как постоянный или временный имплант

При этом надёжных данных о конкретных векторах заражения — например, фишинге, эксплуатации уязвимостей или переборе SSH — в доступных исследованиях нет.

На какие индикаторы стоит обращать внимание защитникам

Поскольку варианты OrBit могут отличаться, эффективнее отслеживать поведенческие признаки, а не конкретные хэши файлов.

Подозрительное поведение загрузчика и библиотек

Руткит полагается на подмену конфигурации загрузчика и перехват shared‑библиотек. Любые аномалии в работе LD_PRELOAD или конфигурации линковщика должны вызывать подозрение.

Аномалии в SSH и sudo‑аутентификации

Необычные обращения к процессам аутентификации могут свидетельствовать о попытках перехвата учётных данных.

Массовая инъекция библиотек

OrBit заражает как существующие, так и новые процессы системы, поэтому стоит отслеживать нетипичную загрузку библиотек сразу в нескольких процессах.

Скрытые файлы с результатами команд

Некоторые варианты сохраняют перехваченные данные в скрытых файлах вроде /tmp/.orbit.

Артефакты руткитов

Следователям могут помочь открытые коллекции IOC‑индикаторов Linux‑руткинов, включающие подозрительные файлы, пути и форензические артефакты.

Почему OrBit важен для корпоративной безопасности

Главная особенность OrBit — не только его скрытность, но и повторное использование кода.

Поскольку руткит основан на открытом проекте, злоумышленники могут легко создавать собственные версии. Это снижает порог входа для атак на Linux‑инфраструктуру — включая облачные платформы и корпоративные серверы.

Поэтому для защитников разумнее рассматривать OrBit не как одну конкретную малварную семью, а как набор техник: перехват shared‑библиотек, кража учётных данных и внедрение во все процессы системы.

Мониторинг именно этих поведенческих признаков остаётся наиболее надёжным способом обнаружения текущих и будущих вариантов OrBit.