一种名为 OrpaCrab 的复杂的基于 Linux 系统的后门程序，已成为对运营技术（OT）系统的重大威胁，尤其是那些管理加油站基础设施的系统。

安全研究人员在 2024 年 1 月发现了这种恶意软件，当时它从美国被上传至 VirusTotal（一个在线病毒扫描服务平台），这标志着工业网络安全领域出现了一个令人担忧的新情况。

这个后门程序专门针对与 ORPAK 公司相关的系统，ORPAK 是一家涉及加油站和石油运输基础设施的公司。

该恶意软件是从一个此前被 CyberAv3ngers 黑客组织入侵的 Gasboy 燃油管理系统中提取出来的。此前，CyberAv3ngers 黑客组织曾与利用 Unitronics PLC入侵供水系统的网络攻击事件有关联。

这个后门程序嵌入在 Gasboy 的支付终端（OrPT）中，它赋予攻击者一些令人担忧的能力，使其有可能控制燃油服务，并从客户那里提取敏感的财务信息。

卡巴斯基的研究人员指出，这次攻击是一个令人不安的趋势的一部分，在这种趋势下，威胁行为者在攻击运营技术（OT）系统时，并没有使用专门针对 OT 系统的功能。

相反，他们整合了对合法流量中已使用的通信协议的支持，这使得检测工作尤其具有挑战性。

这种攻击方式代表了攻击方法的一种演变，工业安全团队必须迫切应对这一情况。

OrpaCrab 展示了攻击者如何在无需深入了解工业协议的情况下入侵关键基础设施，而是利用常见的网络标准将恶意流量隐藏在合法通信之中。

其潜在影响不仅限于数据盗窃，还可能导致受影响设施的服务中断，这引发了人们对工业环境中物理安全隐患的担忧。

技术通信机制

OrpaCrab 的技术复杂性在其通信策略中尤为明显。

这个后门程序利用消息队列遥测传输（MQTT）协议进行命令与控制（C2）通信 —— 这种协议常用于物联网和工业环境中。

这一设计选择使得该恶意软件能够将其流量与合法的操作消息混合在一起，极大地增加了检测工作的难度。

OrpaCrab 使用三个主要的 MQTT 主题来推进其操作：一个用于上传初始设备信息，另一个用于接收来自控制者的指令，第三个用于返回命令执行结果。

它与命令与控制（C2）服务器之间的通信还使用了 AES-256-CBC 加密算法来保护配置信息，进一步增加了通信的隐蔽性。

此外，这个后门程序使用基于 HTTPS 的 DNS（DoH）来解析其命令与控制（C2）服务器的域名，有效地规避了传统的 DNS 监测，否则传统的 DNS 监测可能会标记出可疑连接。

一旦在系统中建立起来，OrpaCrab 会通过 “/etc/rc3.d/” 中的一个自动启动脚本来保持其在系统中的持久性，确保在系统重启后该后门程序仍能继续运行。

该恶意软件的功能包括执行任意命令、在即将被检测到时自行删除，以及动态重新配置其 MQTT 代理设置，以适应不断变化的安全环境。