Rootkit Linux OrBit: Khi malware “tùy chỉnh” trở thành công cụ tấn công mã nguồn mở có thể tái sử dụng

OrBit có thể được triển khai theo hai cách: implant tồn tại lâu dài (persistent) hoặc payload chỉ chạy trong bộ nhớ nếu kẻ tấn công không muốn để lại dấu vết trên ổ đĩa.

Cơ chế hoạt động: chiếm quyền thư viện hệ thống

Khác với nhiều malware Linux chạy như một file nhị phân độc lập, OrBit thay đổi cách hệ thống nạp thư viện chia sẻ (shared libraries). Nó chèn mã độc vào luồng thực thi khi chương trình khởi chạy hoặc khi gọi các hàm hệ thống nhất định.

Cách tiếp cận này mang lại nhiều lợi thế cho kẻ tấn công:

• Hoạt động độc hại được ẩn bên trong tiến trình hợp pháp
• Công cụ bảo mật dễ nhầm lẫn với hoạt động hệ thống bình thường
• Có thể chặn lệnh và thu thập dữ liệu nhạy cảm

Các phân tích cho thấy malware này có thể hook hàng chục hàm hệ thống, giúp theo dõi hoạt động, đánh cắp credential và thao túng tiến trình mà gần như không để lại dấu hiệu rõ ràng.

Do thư viện độc hại được nạp vào nhiều tiến trình, rootkit nhanh chóng lan khắp hệ thống sau khi cài đặt.

Sự thay đổi lớn: từ malware riêng sang nhánh mã nguồn mở

Ban đầu, OrBit được mô tả như một malware hoàn toàn mới. Tuy nhiên, các cuộc điều tra sau đó phát hiện rằng nó thực chất là bản clone đã chỉnh sửa của Medusa rootkit, một dự án mã nguồn mở trên GitHub.

Phát hiện này thay đổi cách giới nghiên cứu đánh giá mối đe dọa.

Thay vì một tác nhân duy nhất duy trì malware riêng, OrBit có thể là một phần của hệ sinh thái rootkit có thể fork. Kẻ tấn công chỉ cần lấy mã nguồn công khai, điều chỉnh cấu hình hoặc chức năng, rồi triển khai các biến thể khác nhau trong chiến dịch tấn công.

Các nhà phân tích đã theo dõi nhiều lần triển khai OrBit trong nhiều năm, cho thấy nhiều nhóm vận hành khác nhau có thể tái sử dụng cùng một nền tảng mã độc.

Những khả năng đã được quan sát trong các chiến dịch OrBit

Đánh cắp credential

OrBit có thể thu thập SSH và sudo credential, cho phép kẻ tấn công leo thang đặc quyền và di chuyển ngang trong môi trường Linux.

Hook toàn bộ tiến trình

Thông qua việc chèn mã vào thư viện hệ thống, malware ảnh hưởng đến cả tiến trình đang chạy và tiến trình mới khởi động.

Ghi log lệnh và thu thập dữ liệu

Malware có thể ghi lại các lệnh người dùng thực thi và lưu kết quả vào các file ẩn trong hệ thống.

Né tránh phát hiện

Do chạy bên trong tiến trình hợp pháp và chặn các hàm hệ thống, OrBit có thể tránh bị phát hiện bởi nhiều công cụ bảo mật truyền thống.

Con đường xâm nhập: điều đã biết và chưa biết

Các báo cáo công khai mô tả khá chi tiết hành vi của OrBit sau khi đã cài vào hệ thống, nhưng thông tin về cách xâm nhập ban đầu vẫn còn hạn chế.

Những điểm đã được xác nhận:

• Malware cần quyền root hoặc đặc quyền cao để triển khai đầy đủ.
• Có thể cài đặt dưới dạng implant tạm thời hoặc persistent.

Tuy nhiên, các nguồn hiện có chưa xác nhận rõ ràng các phương thức lây nhiễm ban đầu như phishing, khai thác lỗ hổng, hay brute‑force SSH.

Các dấu hiệu mà đội bảo mật nên theo dõi

Do nhiều biến thể có thể tồn tại, việc phát hiện OrBit nên dựa vào hành vi hệ thống thay vì chỉ dựa vào hash file.

Hành vi bất thường của dynamic linker

OrBit thường sửa cấu hình loader hoặc chiếm quyền thư viện chia sẻ để tự động nạp mã độc khi chương trình chạy.

Hoạt động thu thập credential

Các truy cập bất thường vào luồng xác thực SSH hoặc xử lý credential của sudo có thể là dấu hiệu bị chặn và đánh cắp.

Injection vào nhiều tiến trình

Rootkit lây nhiễm cả tiến trình hiện có và tiến trình mới. Việc phát hiện library injection trên nhiều process có thể giúp phát hiện hoạt động này.

File ẩn chứa dữ liệu lệnh

Một số biến thể lưu kết quả lệnh vào file ẩn, ví dụ như /tmp/.orbit.

Dấu vết rootkit trên hệ thống Linux

Các bộ IOC (Indicators of Compromise) từ nghiên cứu rootkit Linux có thể giúp phát hiện file, đường dẫn và artifact đáng ngờ liên quan đến hoạt động rootkit.

Vì sao OrBit đáng lo với doanh nghiệp

Điểm đáng chú ý nhất của OrBit không chỉ là khả năng ẩn mình mà là tính tái sử dụng.

Vì xuất phát từ mã nguồn mở, rootkit này có thể dễ dàng được fork và chỉnh sửa. Điều này làm giảm đáng kể rào cản kỹ thuật cho các tác nhân tấn công nhắm vào máy chủ Linux, đặc biệt là hệ thống cloud và hạ tầng doanh nghiệp.

Do đó, các đội phòng thủ nên coi OrBit không chỉ là một mẫu malware cụ thể mà là một mẫu kỹ thuật tấn công: chiếm quyền thư viện hệ thống kết hợp với đánh cắp credential và persistence trên toàn hệ thống.

Tập trung vào các chỉ dấu hành vi này sẽ giúp phát hiện tốt hơn cả các biến thể OrBit hiện tại và trong tương lai.