Привет! Четыре года все вокруг орали про «невиданный Linux-руткит OrBit» — мол, шедевр, чёрная магия, хакеры уровня бога. А на деле оказалось дешёвый ремейк открытого Medusa с GitHub 2022-го. Классика: пацаны просто взяли готовый конструктор Lego, покрутили модули и выдали за свой эксклюзив.
Представь: ты сидишь в 2022-м, Medusa только выложили — открытый проект, бери и компили. А эти «гении» уже за пару месяцев до релиза гоняли первую версию. Либо у них был приватный доступ, либо код гулял по закрытым чатам, как пиратская копия фильма перед премьерой.
OrBit умел всё, что положено уважающему себя руткиту: прятал процессы, файлы, коннекты, цеплял SSH-бэкдор, перехватывал пароли sudo и SSH. Внедрялся через ld.so.preload, подменял больше сорока системных функций. Выглядело солидно. Только вот в 2025-м они добавили pam_sm_authenticate — теперь могут не просто красть пароль, а вообще решать, пускать тебя в систему или послать нахуй. Красиво, ничего не скажешь.
А ещё двухэтапный загрузчик появился: один гадёныш заражает ELF-файлы и ставит cron, второй качает остальное с cf0[.]pw. Связь с древним ботнетом RHOMBUS 2020 года — те же приёмы, тот же домен. Короче, не новая банда, а старая школа в новом прикиде.
Lineage A — полная версия с наворотами, Lineage B — облегчёнка, чтобы меньше весила и меньше светилась. Меняли пароли, пути, шифрование строк. Некоторые особо остроумные называли папки /lib/fuckwhitehatshome/. Юмористы, блин.
В 2023-м даже допилили функцию xread, чтобы самим себе не ломать Git и сетевые соединения. Это как комик, который четыре года рассказывает один и тот же анекдот, но в 2023-м вдруг добавил тайминг, чтобы не сливаться на середине.
Самое смешное — всё это уже было в Medusa. Просто включили-выключили модули при сборке. Не разработка, а кастомизация китайского ноунейма на AliExpress. BLOCKADE SPIDER перед Embargo-рансомом его юзали, китайцы UNC3886 в VMware и Juniper лезли. Медуса гуляет по всему зоопарку.
Linux-сообщество опять получило по морде открытым кодом. С одной стороны — сила: код прозрачный, все видят. С другой — любой школьник может взять, допилить и заражать сервера годами, пока аналитики Intezer не разберут по косточкам.
Короче, не ждите уникальных руткитов. Ждите умных ребят, которые умеют копипастить и слегка маскировать. Wild Comedian на сцене Linux: старый материал, новая мимика, а зал всё равно ржёт и хлопает.
