一款名为“OrpaCrab”的基于Linux的复杂后门程序，已成为OT系统的重大威胁，尤其是那些管理加油站基础设施的系统。2024年1月该恶意软件从美国上传至VirusTotal后被安全研究人员发现，这一发现为工业网络安全领域敲响了警钟。

该后门程序专门针对与ORPAK公司相关的系统，ORPAK是一家涉足加油站和石油运输基础设施的公司。此恶意软件是从一个此前被“CyberAv3ngers”黑客组织入侵的Gasboy燃油管理系统中提取出来的。该黑客组织此前针对供水系统的Unitronics PLC进行了网络攻击。

这个后门程序嵌入在Gasboy的支付终端（OrPT）中，使攻击者拥有对被入侵系统的操控能力，他们有可能控制燃油服务，并从客户那里窃取敏感的财务信息。

卡巴斯基的研究人员指出，这一攻击展现了一个令人不安的趋势，即威胁行为者在攻击OT系统时并未使用专门针对OT系统的功能。相反，他们在该后门程序中加入了对正常流量使用的通信协议的支持，这使得检测工作变得尤为困难。这种攻击方式代表了攻击手段的一种演变，工业安全团队必须立即加以应对。

“OrpaCrab”展示了攻击者如何在无需深入了解工业协议的情况下，利用常见的网络协议将恶意流量隐藏在合法通信之中，实现对关键基础设施的入侵。其潜在影响不仅局限于数据窃取，还可能导致受影响设施的服务中断，引发了对工业环境中物理安全隐患的担忧。

// 技术通信机制

“OrpaCrab”的技术复杂性在其通信策略中体现得尤为明显。该后门程序利用MQTT协议进行命令与控制（C2）通信，MQTT是一种常用于物联网和工业环境的协议。这一设计使恶意软件的流量能够与合法的操作消息混为一体，极大地增加了检测的难度。

“OrpaCrab”利用MQTT三个主要的topic来开展其活动：一个用于上传初始设备信息，另一个用于接收来自控制者的指令，第三个用于返回命令执行结果。它与C2服务器的通信通过AES-256-CBC算法进一步加密，以保护配置信息。

此外，该后门程序使用基于HTTPS的DNS（DoH）来解析其C2域名，有效绕过了传统的DNS监控，这些监控可能会标记出可疑连接。一旦在系统上安装，“OrpaCrab”会通过“/etc/rc3.d/”中的自动启动脚本保持持久化，确保后门程序在系统重启后仍能运行。

该恶意软件具备执行任意命令、在临近系统安全检测时自我删除，以及动态重新配置其MQTT代理设置以适应不断变化的安全环境等能力。

引用链接

[1]https://cybersecuritynews.com/new-sophisticated-linux-backdoor-attacking-ot-systems/

[2]https://thehackernews.com/2024/12/iran-linked-iocontrol-malware-targets.html

[3]https://icscert.kaspersky.com/publications/reports/2025/03/25/apt-and-financial-attacks-on-industrial-organizations-in-q4-2024/