OrBit è un nuovo malware rivolto ai sistemi Linux scoperto dai ricercatori di sicurezza informatica di Intezer. La sua caratteristica più rilevante è il fatto che riesce a mantenere la permanenza sui sistemi colpiti restando invisibile grazie a tecniche avanzate di evasione e allo sfruttamento di funzioni principali del sistema.
OrBit consente ai suoi operatori di accedere da remoto alle macchine bersaglio, raccogliere credenziali e registrare i comandi TTY. Il malware aggiunge il payload dannoso sotto forma di oggetto condiviso al file di configurazione utilizzato dal programma di caricamento, inoltre il file binario del loader viene modificato tramite patch per caricare l'oggetto condiviso stesso.
L'attacco ha inizio con un dropper ELF che estrae il payload e lo aggiunge alle librerie condivise caricate dal linker dinamico. L'oggetto condiviso, poi si "aggancia" a tre librerie (libc, libcap e PAM), in questo modo i processi preesistenti che necessitano di tali funzioni utilizzeranno quelle modificate da OrBit, così come i nuovi processi saranno agganciati alla libreria compromessa. In questo modo, il malware infetta l'intera macchina, raccogliendo credenziali, sfuggendo alle verifiche di sicurezza e diventando una presenza permanente sul sistema, con l'aggravante di consentire agli hacker di ottenere l'accesso da remoto alla macchina colpita.
Secondo gli esperti di sicurezza, le minacce rivolte a Linux sono in costante evoluzione, riuscendo con successo a eludere gli strumenti di sicurezza. E OrBit non è il primo malware Linux con queste caratteristiche, dato che i ricercatori hanno già scoperto altri pericolose minacce come Symbiote e Syslogk, entrambi caratterizzati dalla capacità di fondersi perfettamente con le librerie del sistema e di passare del tutto inosservati.
