Admin
Администратор
Linux-вредонос OrBit, который почти четыре года скрытно заражал серверы и крал пароли, оказался вовсе не уникальной разработкой.
Специалисты Intezer выяснили, что злоумышленники годами используют слегка изменённую версию открытого проекта Medusa, опубликованного на GitHub ещё в 2022 году.
Впервые OrBit описали летом 2022 года как сложный Linux-руткит, который внедряется в системные библиотеки, скрывает процессы, файлы и сетевые подключения, а также перехватывает пароли от SSH и sudo. Специалисты проанализировали десятки образцов OrBit и обнаружили две основные ветки вредоноса. Первая содержит полный набор возможностей, включая кражу учётных данных и скрытие сетевой активности. Вторая ветка оказалась облегчённой версией без части функций. За несколько лет операторы регулярно меняли встроенные логины и пароли, пути установки и ключи шифрования строк. В 2025 году OrBit получил особенно опасное обновление, научившись вмешиваться в серверную часть PAM-аутентификации. Анализ исходного кода показал, что практически все «новые» возможности OrBit уже присутствовали в открытом проекте Medusa с момента публикации.
