一款名為“OrpaCrab”的基于Linux的復(fù)雜后門程序�����,已成為OT系統(tǒng)的重大威脅,尤其是那些管理加油站基礎(chǔ)設(shè)施的系統(tǒng)�。2024年1月該惡意軟件從美國上傳至VirusTotal后被安全研究人員發(fā)現(xiàn),這一發(fā)現(xiàn)為工業(yè)網(wǎng)絡(luò)安全領(lǐng)域敲響了警鐘�����。
該后門程序?qū)iT針對與ORPAK公司相關(guān)的系統(tǒng),ORPAK是一家涉足加油站和石油運輸基礎(chǔ)設(shè)施的公司���。此惡意軟件是從一個此前被“CyberAv3ngers”黑客組織入侵的Gasboy燃油管理系統(tǒng)中提取出來的。該黑客組織此前針對供水系統(tǒng)的Unitronics PLC進行了網(wǎng)絡(luò)攻擊�。
這個后門程序嵌入在Gasboy的支付終端(OrPT)中��,使攻擊者擁有對被入侵系統(tǒng)的操控能力,他們有可能控制燃油服務(wù)���,并從客戶那里竊取敏感的財務(wù)信息�����。
卡巴斯基的研究人員指出�,這一攻擊展現(xiàn)了一個令人不安的趨勢�����,即威脅行為者在攻擊OT系統(tǒng)時并未使用專門針對OT系統(tǒng)的功能�����。相反���,他們在該后門程序中加入了對正常流量使用的通信協(xié)議的支持,這使得檢測工作變得尤為困難��。這種攻擊方式代表了攻擊手段的一種演變,工業(yè)安全團隊必須立即加以應(yīng)對��。
“OrpaCrab”展示了攻擊者如何在無需深入了解工業(yè)協(xié)議的情況下,利用常見的網(wǎng)絡(luò)協(xié)議將惡意流量隱藏在合法通信之中��,實現(xiàn)對關(guān)鍵基礎(chǔ)設(shè)施的入侵�����。其潛在影響不僅局限于數(shù)據(jù)竊取,還可能導(dǎo)致受影響設(shè)施的服務(wù)中斷�,引發(fā)了對工業(yè)環(huán)境中物理安全隱患的擔憂����。
// 技術(shù)通信機制
“OrpaCrab”的技術(shù)復(fù)雜性在其通信策略中體現(xiàn)得尤為明顯�。該后門程序利用MQTT協(xié)議進行命令與控制(C2)通信,MQTT是一種常用于物聯(lián)網(wǎng)和工業(yè)環(huán)境的協(xié)議。這一設(shè)計使惡意軟件的流量能夠與合法的操作消息混為一體�,極大地增加了檢測的難度����。
“OrpaCrab”利用MQTT三個主要的topic來開展其活動:一個用于上傳初始設(shè)備信息�,另一個用于接收來自控制者的指令����,第三個用于返回命令執(zhí)行結(jié)果。它與C2服務(wù)器的通信通過AES-256-CBC算法進一步加密�,以保護配置信息����。
此外�,該后門程序使用基于HTTPS的DNS(DoH)來解析其C2域名����,有效繞過了傳統(tǒng)的DNS監(jiān)控����,這些監(jiān)控可能會標記出可疑連接。一旦在系統(tǒng)上安裝�,“OrpaCrab”會通過“/etc/rc3.d/”中的自動啟動腳本保持持久化���,確保后門程序在系統(tǒng)重啟后仍能運行。
該惡意軟件具備執(zhí)行任意命令、在臨近系統(tǒng)安全檢測時自我刪除���,以及動態(tài)重新配置其MQTT代理設(shè)置以適應(yīng)不斷變化的安全環(huán)境等能力�����。
引用鏈接
[1]https://cybersecuritynews.com/new-sophisticated-linux-backdoor-attacking-ot-systems/
[2]https://thehackernews.com/2024/12/iran-linked-iocontrol-malware-targets.html
[3]https://icscert.kaspersky.com/publications/reports/2025/03/25/apt-and-financial-attacks-on-industrial-organizations-in-q4-2024/
