Nguy cơ từ Backdoor OrpaCrab trên Linux và cách phòng tránh

26/03/2025
2 mins read
Nội dung
Backdoor Linux tinh vi mới nhắm đến hệ thống công nghệ hoạt động
Ý nghĩa thực tiễn
Kết luận

Backdoor Linux tinh vi mới nhắm đến hệ thống công nghệ hoạt động

1. Backdoor OrpaCrab/IOCONTROL:

  • Phân tích: Các nhà nghiên cứu của QiAnXin XLab đã phân tích OrpaCrab, một backdoor trên Linux tinh vi nhắm đến các hệ thống công nghiệp, đặc biệt là những hệ thống liên quan đến ORPAK, một công ty hoạt động trong lĩnh vực trạm xăng và vận chuyển dầu.
  • Tính năng:
    • Giao thức MQTT: Phần mềm độc hại sử dụng giao thức MQTT (Message Queuing Telemetry Transport) cho giao tiếp C2.
    • Khả năng tồn tại: Nó thiết lập khả năng tồn tại thông qua một tập lệnh để tự khởi động từ “/etc/rc3.d/”.
    • Mã hóa: Trojan sử dụng mã hóa AES-256-CBC để che giấu thông tin cấu hình của nó.
    • DNS qua HTTPS: Nó sử dụng DNS qua HTTPS (DoH) để giải quyết tên miền C2 của mình, hiệu quả vượt qua việc giám sát DNS truyền thống.
    • Lệnh: Backdoor giao tiếp với máy chủ C2 của nó thông qua ba chủ đề MQTT chính để tải thông tin thiết bị ban đầu, nhận hướng dẫn và trả lại kết quả thực thi lệnh. Nó hỗ trợ một số lệnh, bao gồm thực hiện lệnh tùy ý, tự xóa và cấu hình lại máy chủ MQTT.

2. Vector lây nhiễm:

  • Vector lây nhiễm chính vẫn chưa rõ ràng, nhưng nó đã được tải lên VirusTotal vào tháng 1 năm 2024 từ Hoa Kỳ.

3. Nhúng vào Hệ thống Quản lý Nhiên liệu Gasboy:

  • Phần mềm độc hại đã được nhúng trong Thiết bị Thanh toán của Gasboy, được gọi là OrPT, bởi nhóm hacking CyberAv3ngers. Điều này ngụ ý rằng các tác nhân đe dọa có khả năng tắt dịch vụ nhiên liệu và có khả năng đánh cắp thông tin thẻ tín dụng từ khách hàng.

Ý nghĩa thực tiễn

  1. Đe dọa đối với hệ thống công nghiệp:
    Backdoor OrpaCrab đặt ra một mối đe dọa đáng kể đối với các hệ thống công nghiệp, đặc biệt là trong các lĩnh vực vận chuyển gas và dầu. Khả năng thiết lập tồn tại và giao tiếp qua MQTT khiến nó khó phát hiện và loại bỏ.
  2. Biện pháp bảo mật:
    Để giảm thiểu mối đe dọa này, các tổ chức nên thực hiện các biện pháp bảo mật mạnh mẽ, bao gồm:
    • Theo dõi lưu lượng MQTT để phát hiện hoạt động đáng ngờ.
    • Cập nhật và vá lỗi hệ thống thường xuyên.
    • Áp dụng các công cụ phát hiện mối đe dọa nâng cao có thể xác định và chặn các giao tiếp MQTT độc hại.
    • Thực hiện các đánh giá lỗ hổng và thử nghiệm thâm nhập thường xuyên để xác định các điểm vào tiềm năng.
  3. Phát hiện và loại bỏ:
    Việc phát hiện backdoor OrpaCrab có thể gặp khó khăn do việc sử dụng mã hóa và DoH. Tuy nhiên, các nhóm bảo mật nên tập trung vào việc theo dõi nhật ký hệ thống để phát hiện hoạt động bất thường liên quan đến giao tiếp MQTT và sử dụng các công cụ phát hiện mối đe dọa nâng cao để xác định và cách ly phần mềm độc hại. Khi phát hiện, phần mềm độc hại nên được loại bỏ kịp thời và các hệ thống bị ảnh hưởng nên được làm sạch và cấu hình lại kỹ lưỡng để tránh tái nhiễm.

Kết luận

Backdoor OrpaCrab/IOCONTROL đại diện cho một mối đe dọa tinh vi đối với các hệ thống OT, tận dụng các kỹ thuật tiên tiến như MQTT và DoH để lẩn tránh phát hiện. Các tổ chức trong ngành công nghiệp cần phải cảnh giác và thực hiện các biện pháp bảo mật mạnh mẽ để bảo vệ khỏi các mối đe dọa như vậy.

Tags