OutlawCountry er navnet på den nyeste CIA udnytte afsløret af WikiLeaks. I modsætning til ELSA der er designet til at målrette Windows-systemer til at bestemme placeringen af en bestemt bruger, OutlawCountry henvender Linux-systemer. Ifølge en lækket brugermanual, CIA har brugt hacking værktøj siden juni 2015 eller tidligere.
OutlawCountry Linux Exploit Tekniske Detaljer
Værktøjet er designet til at omdirigere udgående internettrafik til andre adresser gør det muligt for agenturet at overvåge aktiviteten af Linux-servere. Men, for værktøj til at arbejde ordentligt, shell adgang og root-privilegier erhverves først.
Det betyder, at systemerne er omfattet af CIA har brug for at blive kompromitteret via en anden tilgang, og først derefter den OutlawCountry kan implementeres. Det er stadig ukendt, hvad andre værktøjer er blevet brugt sammen med OutlawCountry, men overvejer, hvordan Windows-systemer er blevet rettet, det er meget sandsynligt, at CIA har fået adgang via endnu ukendte sårbarheder i Linux.
Ifølge WikiLeaks, den første version af OutlawCountry har en kerne modul til 64-bit CentOS / RHEL 6.x, som kun arbejder med standard kerner. Det er også kun understøtter tilføje skjulte DNAT regler til PREROUTING kæde. Som forklaret af WikiLeaks:
Den malware består af en kerne modul, der skaber en skjult netfilter bord på en Linux mål; med kendskab til tabelnavnet, en operatør kan oprette regler, der går forud eksisterende netfilter / iptables regler og er skjult fra en bruger eller endda systemadministrator.
CIA kan fjerne alle spor af OutlawCountry
Den lækkede brugermanual offentliggjort af organisationen afslører hvordan værktøjet fungerer. Det afslører også, at agenturet er i stand til at fjerne alle sine spor, når angrebet er overstået.
Den OutlawCountry Værktøjet består af en kerne modul til Linux 2.6. Operatøren indlæser modulet via skallen adgang til målet. Når indlæst, modulet opretter en ny netfilter bord med en obskur navn. Den nye tabel giver visse regler, der skal oprettes ved hjælp af iptables kommando. Disse regler har forrang i forhold til eksisterende regler, og kan kun ses af en administrator, hvis tabellen navn er kendt. Når operatøren fjerner kernemodulet, den nye tabel fjernes også.
Som sædvanlig, Linux-brugere opfordres til at opdatere deres systemer til den nyeste version, så udnytter undgås.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: