OrBit rootkit là một mối đe dọa bảo mật trên Linux, âm thầm thu thập thông tin đăng nhập và ẩn sâu trong hệ thống bị xâm nhập trong nhiều năm mà không kích hoạt phần lớn công cụ giám sát. Nghiên cứu mới cho thấy OrBit rootkit không phải mã nguồn độc lập, mà là một biến thể được chỉnh sửa từ Medusa rootkit công khai trên GitHub. Nguồn tham khảo: Intezer: OrBit Returns.
Kiến trúc hoạt động của OrBit rootkit
OrBit rootkit bám vào lõi hệ thống Linux bằng cách hook hơn 40 hàm hệ thống cơ bản. Từ vị trí này, nó gần như vô hình đối với quản trị viên và công cụ quét thông thường.
Cơ chế ẩn bám của OrBit rootkit dựa trên việc triển khai dưới dạng một shared library trên máy nạn nhân. Mã độc sửa cấu hình dynamic linker để thư viện độc hại tự động được nạp vào mọi tiến trình chạy trên hệ thống.
Khi đã hoạt động, OrBit rootkit can thiệp vào đọc tệp, liệt kê thư mục và dữ liệu kết nối mạng. Điều này làm cho dấu vết hoạt động của nó khó bị phát hiện bởi cả công cụ bảo mật lẫn thao tác quản trị thông thường.
Thu thập thông tin đăng nhập
OrBit rootkit lắng nghe các lần đăng nhập qua SSH và sudo, sau đó ghi lại username và password vào một thư mục ẩn mà quét hệ thống tiêu chuẩn không phát hiện được. Thư mục được nêu trong nghiên cứu là:
/lib/libseconf/Thông tin đăng nhập và dữ liệu cấu hình được lưu tại đây nhờ chính các hook của rootkit, khiến việc kiểm tra bằng công cụ thông thường không cho kết quả đầy đủ.
Backdoor SSH bí mật
Sau khi xâm nhập, kẻ tấn công kết nối ngược về hệ thống bị chiếm quyền qua một SSH backdoor bí mật, không cần gửi lệnh trực tiếp qua Internet theo cách dễ bị quan sát. Đây là một đặc điểm khiến OrBit rootkit đặc biệt nguy hiểm trong môi trường Linux.
Phân tích các biến thể OrBit rootkit
Nghiên cứu của Intezer đã theo dõi hơn một chục mẫu từ năm 2022 đến đầu 2026. Phân tích tĩnh và vi sai cho thấy có hai nhánh build riêng biệt:
- Lineage A: bản đầy đủ, mang toàn bộ công cụ tấn công.
- Lineage B: bản rút gọn, loại bỏ một số tính năng để giảm dấu chân.
Lineage B dường như ngừng xuất hiện sau năm 2024, cho thấy các operator có thể đã quay lại nhánh build chính. Dù khác nhau về cấu hình, cả hai đều thuộc cùng họ OrBit rootkit và chia sẻ các đặc trưng cốt lõi của Medusa rootkit.
Chuỗi triển khai và khả năng duy trì truy cập
Trong các mẫu mới hơn, OrBit rootkit được triển khai theo cơ chế hai giai đoạn. Một infector nhúng dropper, sau đó dropper giải nén và cài đặt rootkit. Một tác vụ cron job cũng được tạo để kéo payload cập nhật từ domain bên ngoài.
Ở một số build, sự thay đổi đáng chú ý nhất xuất hiện trong năm 2025 khi rootkit thêm hook pam_sm_authenticate, là hàm xác thực phía server. So với các phiên bản cũ chỉ thu thập passively khi người dùng nhập mật khẩu, phiên bản này có thể forge authentication outcomes, cho phép chấp nhận hoặc từ chối đăng nhập trên hệ thống bị xâm nhập.
Khả năng này làm tăng đáng kể rủi ro an toàn thông tin vì attacker không chỉ quan sát thông tin đăng nhập mà còn có thể điều khiển kết quả xác thực.
IOC và dấu hiệu nhận diện OrBit rootkit
Nghiên cứu không công bố một danh sách IOC truyền thống đầy đủ theo kiểu IP/domain cố định, nhưng nêu nhiều dấu hiệu nhận diện kỹ thuật có giá trị cho threat hunting và phát hiện xâm nhập.
- Thư mục ẩn:
/lib/libseconf/ - Tên tệp artefact cố định:
sshpass.txt - Tên tệp artefact cố định:
.logpam - Tên tệp artefact cố định:
.ports - Hook xác thực:
pam_sm_authenticate - Chuỗi build: các tệp sinh ra từ pipeline của Medusa rootkit
- Mã hóa: bảng chuỗi XOR với key biến đổi
Những dấu hiệu này nên được đối chiếu trong threat intelligence, SIEM hoặc nền tảng điều tra như MISP và VirusTotal khi cần xác minh nội bộ.
Trong môi trường giám sát, việc xuất hiện đồng thời các artefact trên ở thư mục bất thường là chỉ báo mạnh cho OrBit rootkit hoặc một build liên quan.
Các nhóm sử dụng OrBit rootkit
Nghiên cứu ghi nhận ít nhất ba chiến dịch khác nhau cùng sử dụng OrBit rootkit. Điều này cho thấy mã nguồn đã bị tái sử dụng rộng rãi giữa nhiều operator khác nhau.
Một mẫu được gắn với UNC3886 sử dụng cùng codebase với khóa mã hóa 0xAA, thông tin xác thực riêng và đường dẫn cài đặt khớp chính xác với các mẫu Lineage A năm 2024. Một chiến dịch khác trong báo cáo Global Threat Report 2026 của CrowdStrike cho thấy nhóm BLOCKADE SPIDER đã dùng OrBit rootkit để duy trì quyền truy cập trong môi trường ảo hóa VMware.
Chiến dịch thứ ba được quan sát năm 2025 dùng kiến trúc dropper giống hệt một botnet Linux được theo dõi từ năm 2020, với cả hai dropper trỏ về cùng một domain C2 và hạ tầng ở Nga.
Khả năng phát hiện xâm nhập và săn tìm dấu vết
Do OrBit rootkit can thiệp vào nhiều hàm hệ thống, việc phát hiện xâm nhập cần tập trung vào artefact build và hành vi bất thường thay vì chỉ nhìn bề mặt tiến trình. Một trong những khuyến nghị chính là theo dõi các tệp xuất hiện cùng nhau trong thư mục lạ.
Các chuỗi tệp như sshpass.txt, .logpam và .ports là dấu vết hữu ích cho phát hiện tấn công. Chúng xuất hiện như artefact cố định của pipeline Medusa rootkit, bất kể operator biên dịch lại với credentials mới hay đổi đường dẫn cài đặt.
Nhà nghiên cứu cũng đề xuất dùng YARA rules để giải mã bảng chuỗi XOR với key biến đổi và so khớp các plaintext đã biết. Cách này có thể bắt được mọi phiên bản trong họ OrBit rootkit, kể cả các build đã đổi credentials và đổi install path.
Ví dụ logic nhận diện bằng YARA
rule Orbit_Medusa_String_Table
{
strings:
$a = "sshpass.txt"
$b = ".logpam"
$c = ".ports"
$d = "pam_sm_authenticate"
condition:
2 of them
}Đây chỉ là cấu trúc minh họa ở mức logic để thể hiện cách bám dấu vết của OrBit rootkit. Khi triển khai thực tế, rule cần bổ sung điều kiện giải mã XOR theo mẫu cụ thể của từng sample.
Ảnh hưởng hệ thống Linux
OrBit rootkit gây ảnh hưởng trực tiếp đến tính toàn vẹn của hệ thống Linux vì nó nạp vào mọi tiến trình thông qua dynamic linker, đồng thời che giấu file, thư mục và lưu lượng kết nối. Khi quyền xác thực bị thao túng, hệ thống có thể bị xâm nhập trái phép mà không có cảnh báo rõ ràng.
Ở cấp vận hành, các tác động chính gồm:
- Đánh cắp dữ liệu đăng nhập qua SSH và sudo.
- Ẩn file và thư mục khỏi kiểm tra thông thường.
- Duy trì quyền truy cập bằng SSH backdoor.
- Điều khiển xác thực qua hook pam_sm_authenticate.
- Che giấu hoạt động trước cả administrator lẫn security tools.
Với đặc điểm này, OrBit rootkit không chỉ là công cụ thu thập thông tin đăng nhập mà còn là một lớp bám dai trên Linux cần được xử lý như một sự cố an ninh mạng ở cấp hệ thống.
Tham chiếu kỹ thuật bổ sung
Thông tin tổng hợp về họ OrBit rootkit có thể đối chiếu thêm tại CISA và NVD khi cần tra cứu bối cảnh kỹ thuật liên quan đến lỗ hổng CVE, mặc dù nội dung hiện tại không gắn với một CVE cụ thể.
