OrBit Linux Rootkit: ภัยเงียบที่พัฒนาเป็นเครื่องมือโอเพ่นซอร์สสำหรับการโจมตี

นักวิจัยยังพบว่า OrBit สามารถทำงานได้สองรูปแบบ คือ

• Persistent implant ติดตั้งแบบถาวรในระบบ
• Volatile in‑memory payload ทำงานเฉพาะในหน่วยความจำโดยไม่ทิ้งไฟล์ถาวร

รูปแบบการติดตั้งขึ้นอยู่กับวิธีที่ผู้โจมตีใช้ติดตั้งมัลแวร์

วิธีที่ OrBit แทรกตัวเข้าไปในระบบ Linux

ต่างจากมัลแวร์ Linux แบบทั่วไปที่รันเป็นไฟล์ executable เพียงไฟล์เดียว OrBit ใช้วิธี ดัดแปลงกระบวนการโหลด shared libraries ของระบบ

มันจะ hijack execution flow ของโปรแกรม ทำให้โค้ดอันตรายถูกโหลดทุกครั้งที่โปรแกรมเริ่มทำงานหรือเรียกใช้ฟังก์ชันบางอย่าง

แนวทางนี้ให้ข้อได้เปรียบกับผู้โจมตีหลายด้าน เช่น

• โค้ดอันตรายซ่อนอยู่ใน process ปกติ
• เครื่องมือรักษาความปลอดภัยอาจมองเห็นเพียงกิจกรรมระบบธรรมดา
• สามารถสกัดกั้นคำสั่งหรือขโมยข้อมูลสำคัญได้

มีรายงานว่า OrBit สามารถ hook system functions ได้หลายสิบรายการ ทำให้มันตรวจสอบกิจกรรมของระบบ ขโมย credential และเปลี่ยนพฤติกรรม process ได้โดยแทบไม่ทิ้งร่องรอย

เมื่อ library ที่ถูกฝังถูกโหลดในหลาย process rootkit จึงกระจายตัวไปทั่วระบบโดยอัตโนมัติ

จุดเปลี่ยนสำคัญ: จากมัลแวร์เฉพาะสู่ rootkit ที่ fork ได้

รายงานช่วงแรกอธิบาย OrBit ว่าเป็นมัลแวร์ใหม่ที่พัฒนาเฉพาะขึ้นมา แต่การวิเคราะห์ภายหลังพบว่าโค้ดส่วนใหญ่ มาจาก Medusa rootkit แบบโอเพ่นซอร์ส

การค้นพบนี้เปลี่ยนมุมมองต่อภัยคุกคามทันที

แทนที่จะเป็นมัลแวร์ที่ควบคุมโดยผู้โจมตีเพียงรายเดียว OrBit กลายเป็นส่วนหนึ่งของ ระบบนิเวศของ rootkit ที่สามารถ fork ได้ ผู้โจมตีสามารถนำโค้ดต้นทางไปปรับแต่ง ตั้งค่าใหม่ หรือเพิ่มฟังก์ชันก่อนนำไปใช้โจมตี

นักวิเคราะห์ด้านความปลอดภัยพบการนำ OrBit ไปใช้ในหลายช่วงเวลาในรอบหลายปี ซึ่งบ่งชี้ว่ามีผู้โจมตีหลายรายนำโค้ดเดียวกันไปใช้แทนการเขียน rootkit ใหม่ตั้งแต่ต้น

ความสามารถที่พบในแคมเปญ OrBit

จากรายงานหลายแหล่ง พบความสามารถหลักที่ปรากฏซ้ำในหลายการติดตั้งของ OrBit

การขโมยข้อมูลรับรอง (Credential harvesting)

OrBit สามารถดักจับ SSH และ sudo credentials ซึ่งช่วยให้ผู้โจมตีขยายสิทธิ์และเคลื่อนที่ภายในระบบ Linux ได้ง่ายขึ้น

การ hook process ทั้งระบบ

ด้วยการแทรกโค้ดใน shared libraries rootkit สามารถมีผลกับทั้ง process ที่กำลังทำงานและ process ที่เริ่มใหม่บนเครื่องเดียวกัน

การบันทึกคำสั่งและเก็บข้อมูล

มัลแวร์จะบันทึกคำสั่งที่ผู้ใช้รันในระบบ และอาจเก็บผลลัพธ์ของคำสั่งไว้ในไฟล์ที่ซ่อนอยู่บนเครื่องที่ติดเชื้อ

การหลบเลี่ยงการตรวจจับ

เนื่องจากมันทำงานภายใน process ปกติและสกัดกั้นฟังก์ชันของระบบ OrBit สามารถหลบเลี่ยงเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้ในหลายกรณี

วิธีแพร่กระจาย: สิ่งที่รู้และยังไม่ยืนยัน

ข้อมูลสาธารณะอธิบายพฤติกรรมของ OrBit หลังจากติดตั้งในระบบแล้ว ได้ค่อนข้างละเอียด แต่ข้อมูลเกี่ยวกับ วิธีเข้าถึงระบบในขั้นต้น ยังมีจำกัด

สิ่งที่ยืนยันได้คือ

• มัลแวร์ต้องใช้ สิทธิ์ระดับสูง (root) เพื่อทำงานเต็มรูปแบบ
• สามารถติดตั้งได้ทั้งแบบถาวรหรือแบบทำงานชั่วคราวในหน่วยความจำ

อย่างไรก็ตาม งานวิจัยที่เผยแพร่ยัง ไม่มีหลักฐานชัดเจน ว่าการติดเชื้อเริ่มต้นมาจากวิธีใด เช่น

• phishing
• การใช้ช่องโหว่
• SSH brute‑force

ดังนั้นเวกเตอร์การติดเชื้อเริ่มต้นยังถือว่า ไม่สามารถยืนยันได้จากข้อมูลปัจจุบัน

สัญญาณเตือนที่ทีมความปลอดภัยควรเฝ้าระวัง

เนื่องจาก OrBit สามารถถูกดัดแปลงเป็นหลายเวอร์ชัน การตรวจจับควรมุ่งเน้น พฤติกรรมของระบบ มากกว่าลายเซ็นไฟล์

พฤติกรรมของ dynamic linker หรือ shared library ที่ผิดปกติ

OrBit ใช้เทคนิค hijack shared libraries หรือแก้ไข loader configuration เพื่อโหลดโค้ดอันตรายโดยอัตโนมัติ

กิจกรรมที่เกี่ยวข้องกับ credential harvesting

การเข้าถึง flow ของการยืนยันตัวตนผ่าน SSH หรือ sudo ที่ผิดปกติ อาจบ่งชี้ถึงการดักจับข้อมูลล็อกอิน

การ inject library ไปยังหลาย process

มัลแวร์ติดเชื้อทั้ง process ที่กำลังทำงานและ process ใหม่ การตรวจจับการ inject library ในหลาย process พร้อมกันอาจเผยให้เห็นพฤติกรรมนี้

ไฟล์ซ่อนที่เก็บผลลัพธ์คำสั่ง

บางเวอร์ชันเก็บข้อมูลที่ขโมยได้ไว้ในไฟล์ชั่วคราว เช่น

/tmp/.orbit

Artifacts ของ rootkit บนระบบ Linux

ผู้ตรวจสอบสามารถใช้รายการ Indicators of Compromise (IOC) จากงานวิจัย rootkit Linux เพื่อค้นหาไฟล์ เส้นทาง หรือร่องรอยที่เกี่ยวข้องกับ rootkit

ทำไม OrBit จึงสำคัญต่อความปลอดภัยองค์กร

บทเรียนสำคัญจาก OrBit ไม่ได้มีแค่เรื่องการซ่อนตัวที่แนบเนียน แต่คือ ความสามารถในการนำกลับมาใช้ซ้ำ

เมื่อ rootkit มีต้นกำเนิดจากโค้ดโอเพ่นซอร์ส ผู้โจมตีสามารถ fork และปรับแต่งได้ง่าย ซึ่งลดต้นทุนในการพัฒนาเครื่องมือโจมตี โดยเฉพาะกับระบบ Linux servers, cloud infrastructure และระบบองค์กร ที่พึ่งพา Linux เป็นหลัก

ด้วยเหตุนี้ ทีมรักษาความปลอดภัยควรมอง OrBit ไม่ใช่แค่มัลแวร์ตัวเดียว แต่เป็น รูปแบบเทคนิคการโจมตี ที่ประกอบด้วย

• การ hijack shared libraries
• การขโมย credential
• การฝังตัวใน process ของระบบ

การตรวจจับพฤติกรรมเหล่านี้จะช่วยให้องค์กรสามารถระบุ ทั้ง OrBit เวอร์ชันปัจจุบันและเวอร์ชันที่อาจถูกพัฒนาในอนาคต ได้มีประสิทธิภาพมากขึ้น