OrBit: руткит Linux с SSH-бэкдором и PAM-хуками

OrBit: Linux rootkit в user space, выросший из open-source Medusa, продолжает эволюционировать и использоваться как минимум несколькими различными threat actor. Исследование показывает, что одна и та же codebase применяется в разных операционных сценариях — от скрытного сбора учетных данных до более гибких механизмов внедрения и persistence.

Что такое OrBit

OrBit — это user-space Linux rootkit, являющийся производным от open-source rootkit Medusa, первоначально проанализированного в 2022 году. В основе его возможностей лежат:

• deep hooking в libc;
• SSH backdoor access;
• сбор учетных записей на основе PAM.

Изначально OrBit был обнаружен как единичный образец с уникальными operational fingerprints, однако дальнейшее расследование показало, что речь идет о переработанном варианте Medusa, публично выпущенного в декабре 2022 года.

Две основные lineage: A и B

На протяжении четырех лет развития OrBit активно deployed, и исследователи выделили две основные operational lineages: Lineage A и Lineage B.

Lineage A — это более complex ветка, сохраняющая широкий набор функций, близкий к исходному релизу. Именно здесь наблюдается наибольшая функциональная насыщенность и дальнейшее развитие возможностей rootkit.

Lineage B представляет собой облегченную версию с существенно сокращенным профилем. Из нее исключены ключевые функции, включая:

• перехват учетных данных PAM;
• скрытие network ports.

Такая минимизация снижает заметность угрозы и уменьшает ее след в системе.

Эволюция в 2023–2025 годах

Образцы 2023 года показали заметное развитие: в OrBit появилась функция xread, позволяющая rootkit обходить собственный hook чтения. Это решило проблемы совместимости с программами, которые используют внутренние wrappers для операций чтения.

Экземпляры 2024 и 2025 годов указывают на продолжение развития обеих lineages. В частности, Lineage A получила дополнительные улучшения, включая PAM-side hook, который позволяет злоумышленникам манипулировать результатами аутентификации.

Образец 2025 года стал поворотным моментом: он представил новую infector architecture, ориентированную на resource-efficient распространение rootkit. Этот infector:

• сканирует ELF binaries;
• внедряет в них payload rootkit;
• демонстрирует первые признаки управления, отходя от прежней пассивной модели deployment.

Исследователи отмечают и structural similarity с более ранними droppers, применявшимися в других кампаниях. Это может указывать либо на пересечение методов у operators, либо на использование общих tools.

Связи с threat actor

Анализ связей OrBit с известными злоумышленниками показывает, что rootkit используется как минимум тремя различными группами, включая UNC3886 и eCrime actor, известный как BLOCKADE SPIDER.

Улики указывают на систематическое использование codebase Medusa, в особенности кластера 2024 года, который практически полностью соответствует configuration UNC3886. Дополнительную значимость этому придает наблюдаемая в OrBit ротация учетных данных и dynamic changes путей установки.

OrBit демонстрирует модульную природу угрозы: несколько actor могут использовать и адаптировать единую codebase для разных malicious goals.

Почему это важно

История OrBit показывает, что один и тот же rootkit может сохранять стабильность в базовой архитектуре, одновременно адаптируясь к новым evasion techniques и меняющимся operational задачам. Для defenders это означает, что угрозу нельзя оценивать как единичный инструмент: речь идет о развивающейся экосистеме, в которой разные злоумышленники используют общую основу для собственных кампаний.

Вывод: OrBit — наглядный пример того, как open-source malware может трансформироваться в долгоживущую и многоцелевую угрозу. Сохраняя core functionality, rootkit получает новые механизмы скрытности, внедрения и manipulation, что делает его значимым объектом внимания в сфере cybersecurity.