OutlawCountry es el nombre de la última hazaña de la CIA revelado por WikiLeaks. A diferencia de ELSA que fue diseñado para atacar sistemas Windows para determinar la ubicación de un usuario en particular, OutlawCountry se dirige a los sistemas Linux. De acuerdo con un manual de usuario filtrada, la CIA ha utilizado la herramienta de hacking desde junio 2015 o antes.
OutlawCountry Linux Exploit detalles técnicos
La herramienta fue diseñada para redirigir el tráfico de salida a Internet a otras direcciones que permite al organismo para supervisar la actividad de los servidores Linux. Sin embargo, para que la herramienta funcione correctamente, de acceso y privilegios de root shell debe aumentar primero.
Esto significa que los sistemas dirigidos por la CIA necesitan ser comprometida a través de un enfoque diferente, y sólo después de la OutlawCountry se puede implementar. Es aún se desconoce qué otras herramientas se han utilizado junto con OutlawCountry, pero teniendo en cuenta cómo se han apuntado los sistemas Windows, Es muy probable que la CIA ha obtenido acceso a través de las vulnerabilidades aún desconocidas en Linux.
De acuerdo con WikiLeaks, la primera versión de OutlawCountry tiene un módulo del kernel para 64 bits 6.x CentOS / RHEL que sólo trabaja con núcleos predeterminados. También sólo admite la adición de reglas DNAT encubiertas para la cadena PREROUTING. Como se explica por WikiLeaks:
El software malicioso se compone de un módulo del núcleo que crea una tabla netfilter oculto en un objetivo Linux; con conocimiento del nombre de la tabla, un operador puede crear reglas que tienen precedencia sobre las reglas de netfilter / iptables existentes y se esconden de un usuario o incluso el administrador del sistema.
CIA puede quitar todos los rastros de OutlawCountry
El manual del usuario se filtró publicado por la organización revela cómo funciona la herramienta. También revela que el organismo es capaz de eliminar todos los rastros de sus vez que el ataque ha terminado.
La herramienta OutlawCountry consiste en un módulo del kernel para Linux 2.6. El operador carga el módulo a través de acceso shell al objetivo. cuando se carga, el módulo crea una nueva tabla de filtro de red con un nombre oscuro. La nueva tabla permite que ciertas normas que se crean utilizando el comando iptables. Estas reglas tienen prioridad sobre las reglas existentes, y son accesibles solamente a un administrador si el nombre de la tabla es conocida. Cuando el operador retira el módulo del núcleo, También se elimina la nueva tabla.
Como siempre, Los usuarios de Linux se insta a actualizar sus sistemas a la versión más reciente de manera que se evitan explota.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: