OutlawCountry est le nom de la dernière CIA exploit révélé par WikiLeaks. Contrairement à ELSA qui a été conçu pour cibler les systèmes Windows pour déterminer l'emplacement d'un utilisateur particulier, OutlawCountry cible les systèmes Linux. Selon un manuel d'utilisation fuite, la CIA a utilisé l'outil de piratage informatique depuis Juin 2015 ou plus tôt.
OutlawCountry Linux Exploit Détails techniques
L'outil a été conçu pour rediriger le trafic Internet sortant vers d'autres adresses permettant à l'organisme de surveiller l'activité des serveurs Linux. Cependant, pour l'outil fonctionne correctement, accès shell et les privilèges root doivent être acquis d'abord.
Cela signifie que les systèmes visés par la CIA doivent être compromis par une approche différente, et seulement après le OutlawCountry peut être déployé. Il est encore inconnue ce que d'autres outils ont été utilisés conjointement avec OutlawCountry, mais compte tenu de la façon dont les systèmes Windows ont été ciblés, il est très probable la CIA a obtenu l'accès via des vulnérabilités encore inconnues dans Linux.
Selon WikiLeaks, la première version de OutlawCountry a un module de noyau pour 64 bits 6.x CentOS / RHEL qui fonctionne uniquement avec les noyaux par défaut. Il soutient également que l'ajout de règles DNAT secrètes à la chaîne PREROUTING. Comme expliqué par WikiLeaks:
Le logiciel malveillant est constitué d'un module de noyau qui crée une table de netfilter caché sur une cible Linux; avec la connaissance du nom de la table, un opérateur peut créer des règles qui ont préséance sur les règles de netfilter / iptables existants et sont cachés d'un utilisateur ou même administrateur système.
CIA peut supprimer toutes les traces de OutlawCountry
Le manuel d'utilisation fuite publié par l'organisation révèle le fonctionnement de l'outil. Il révèle également que l'agence est en mesure de retirer toutes ses traces une fois que l'attaque est terminée.
L'outil OutlawCountry se compose d'un module de noyau pour Linux 2.6. L'opérateur charge le module par l'intermédiaire de l'accès de la coquille à la cible. Une fois chargé, le module crée une nouvelle table netfilter avec un nom obscur. La nouvelle table permet certaines règles à créer en utilisant la commande iptables. Ces règles ont préséance sur les règles existantes, et ne sont visibles à un administrateur si le nom de la table est connue. Lorsque l'opérateur retire le module du noyau, la nouvelle table est également supprimé.
Comme d'habitude, Les utilisateurs de Linux sont invités à mettre à jour leurs systèmes à la version la plus récente de sorte que les exploits sont évités.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: