Компания Intezer Labs выявила вредонос OrBit, нацеленный на компьютеры с операционной системой Linux. Этот вирус трудно поддаётся обнаружению антивирусными инструментами, поэтому его почти невозможно выявить.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

OrBit заражает запущенные в системе процессы и крадёт конфиденциальные данные. Специалисты Intezer Labs пояснили, как работает OrBit: этот вирус изменяет переменную окружения LD_PRELOAD, перехватывает вызов функций и управляет загрузкой библиотек, что позволяет ему перехватывать вводимые на команде терминалы и собирать логины и пароли от компьютерных систем. Хакеры могут получать доступ к этим данным удалённо через взломанное SSH-подключение.

У OrBit есть одна особенность, отличающая его от других вирусов и делающая почти неуязвимым. Этот вредонос хранит похищенные конфиденциальные данные на самом устройстве, то есть инструменты безопасности не выявляют утечку этих данных на сторонний сервер. Кроме того, он подключает к себе множество библиотек, благодаря чему воспринимается как часть системы, тесно связанная с её функциями.

Разработчикам антивирусных инструментов лишь недавно стал известно о существовании OrBit, поэтому он может быть обнаружен лишь некоторыми антивирусами с максимально свежими базами. Эксперты отметили, что с недавнего времени киберпреступники начали уделять Linux гораздо больше внимания. Например, несколько недель назад был выявлен вирус Symbiote, который тоже использует для заражения и атак переменную окружения LD_PRELOAD. Кроме того, был найден вирус BPFDoor (известный под разными именами), который маскировался настолько хорошо, что в течение примерно пяти ускользал от внимания ИБ-экспертов и всё это время не обнаруживался системами безопасности.