OutlawCountry ist der Name der neuesten CIA Exploits durch die WikiLeaks enthüllt. Im Gegensatz zu ELSA, das wurde entwickelt, um Windows-Systeme zielt auf die Position eines bestimmten Benutzers zu bestimmen, OutlawCountry zielt auf Linux-Systemen. Nach einem durchgesickerten Bedienungsanleitung, die CIA das Hacking-Tool seit Juni mit 2015 oder früher.
OutlawCountry Linux Exploit Technische Daten
Das Tool wurde entwickelt, um ausgehenden Internet-Datenverkehr an anderen Adressen umleiten die Agentur so dass die Aktivität von Linux-Servern überwachen. Jedoch, für das Werkzeug zu arbeiten, richtig, Shell-Zugriff und Root-Rechte sollten zuerst gewonnen werden.
Dies bedeutet, dass die Systeme von der CIA gezielten müssen über einen anderen Ansatz beeinträchtigt werden, und erst danach die OutlawCountry eingesetzt werden können. Es ist noch nicht bekannt, welche anderen Werkzeuge zusammen mit OutlawCountry verwendet worden, aber wenn man bedenkt, wie Windows-Systeme gezielt wurden, es ist sehr wahrscheinlich, dass der CIA Zugang erhielt über noch unbekannte Schwachstellen in Linux hat.
Laut WikiLeaks, die erste Version von OutlawCountry hat eine Kernel-Modul für 64-Bit CentOS / RHEL 6.x, die mit Standard-Kernel funktioniert nur,. Es unterstützt auch nur verdeckte DNAT Regeln für die PREROUTING Kette Hinzufügen. Wie durch WikiLeaks erklärt:
Die Malware besteht aus einem Kernel-Modul, das eine versteckte netfilter Tabelle auf einem Linux-Ziel erstellt; mit Wissen des Tabellennamens, kann ein Bediener Regeln erstellen, den Vorrang gegenüber bestehenden netfilter / iptables-Regeln übernehmen und werden von einem Benutzer oder sogar Systemadministrator verborgen.
CIA kann alle Spuren von OutlawCountry entfernen
Die durchgesickerten Bedienungsanleitung veröffentlicht von der Organisation zeigt, wie das Tool funktioniert. Es zeigt auch, dass die Agentur in der Lage ist, alle ihre Spuren zu entfernen, sobald der Angriff vorbei ist.
Das OutlawCountry Werkzeug besteht aus einem Kernel-Modul für Linux 2.6. Der Bediener lädt das Modul über Shell-Zugriff auf das Ziel. wenn loaded, Das Modul erstellt eine neue netfilter-Tabelle mit einem obskuren Namen. Die neue Tabelle erlaubt es, bestimmte Regeln erstellt werden, um den iptables-Befehl. Diese Regeln haben Vorrang vor den bestehenden Regeln, und sind nur sichtbar für einen Administrator, wenn der Tabellenname bekannt ist,. Wenn entfernt der Bediener das Kernel-Modul, die neue Tabelle wird ebenfalls entfernt.
Wie gewöhnlich, Linux-Anwender werden aufgefordert, ihre Systeme auf die neueste Version zu aktualisieren, so dass Exploits vermieden werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: