OutlawCountry è il nome della più recente CIA exploit rivelato dalla Wikileaks. A differenza di ELSA che è stato progettato per colpire i sistemi Windows per determinare la posizione di un determinato utente, OutlawCountry obiettivi sistemi Linux. Secondo un manuale utente trapelato, la CIA ha utilizzato lo strumento di hacking dal giugno 2015 o versioni precedenti.
OutlawCountry Linux Exploit Dettagli tecnici
Lo strumento è stato progettato per reindirizzare il traffico Internet in uscita ad altri indirizzi che consenta all'Agenzia di monitorare l'attività dei server Linux. Tuttavia, per lo strumento funzioni correttamente, shell accesso e radice privilegi devono essere acquisiti prima.
Ciò significa che i sistemi mirati dalla CIA hanno bisogno di essere compromessa attraverso un approccio diverso, e solo dopo l'OutlawCountry può essere distribuito. E 'ancora sconosciuto quali altri strumenti sono stati utilizzati insieme a OutlawCountry, ma considerando come sono stati presi di mira i sistemi Windows, è molto probabile che la CIA ha ottenuto l'accesso tramite le vulnerabilità ancora sconosciute in Linux.
Secondo Wikileaks, la prima versione di OutlawCountry ha un modulo del kernel a 64 bit CentOS / RHEL 6.x, che funziona solo con i kernel di default. Inoltre supporta solo aggiungere regole DNAT segrete alla catena PREROUTING. Come spiegato da WikiLeaks:
Il malware è costituito da un modulo del kernel che crea una tabella di netfilter nascosta su un bersaglio Linux; con la conoscenza del nome della tabella, un operatore può creare regole che prevalgono sulle netfilter / iptables norme vigenti e sono nascoste da un utente o amministratore di sistema.
CIA può eliminare ogni traccia di OutlawCountry
Il manuale utente trapelato pubblicato dall'organizzazione rivela come le opere di utensili. Rivela anche che l'agenzia è in grado di rimuovere tutte le tracce una volta che l'attacco è finito.
Lo strumento OutlawCountry è costituito da un modulo del kernel per Linux 2.6. L'operatore carica il modulo tramite accesso shell al bersaglio. quando caricato, il modulo crea una nuova tabella netfilter con un nome oscura. La nuova tabella permette alcune regole per essere creati usando il comando iptables. Queste regole hanno la precedenza sulle regole esistenti, e sono visibili solo a un amministratore, se il nome della tabella è conosciuto. Quando l'operatore rimuove il modulo del kernel, la nuova tabella viene anche rimosso.
Come di solito, Gli utenti Linux sono invitati ad aggiornare i propri sistemi per la versione più recente in modo che gli exploit sono evitati.