OutlawCountry is de naam van de nieuwste CIA exploit onthuld door WikiLeaks. In tegenstelling tot ELSA die werd ontworpen om Windows-systemen te richten op de locatie van een bepaalde gebruiker te bepalen, OutlawCountry richt op Linux-systemen. Volgens een uitgelekte handleiding, de CIA is met behulp van het hacken functie sinds juni 2015 of eerder.
OutlawCountry Linux Exploit Technische Details
De tool is ontworpen om uitgaand internetverkeer naar andere adressen te leiden waardoor het agentschap om de activiteit van Linux-servers te controleren. Echter, voor het gereedschap goed te laten werken, shell toegang en rootprivileges moet eerst worden opgedaan.
Dit betekent dat de systemen waarop het CIA te worden aangetast door een andere benadering, en pas daarna de OutlawCountry kan worden ingezet. Het is nog onbekend wat andere instrumenten zijn gebruikt in combinatie met OutlawCountry, maar gezien de manier waarop Windows-systemen zijn gericht, het is zeer waarschijnlijk de CIA heeft toegang verkregen via nog onbekende kwetsbaarheden in Linux.
Volgens WikiLeaks, de eerste versie van OutlawCountry heeft een kernel module voor 64-bit CentOS / RHEL 6.x die alleen werkt met de standaard kernels. Ook ondersteunt alleen het toevoegen van covert DNAT regels om de PREROUTING keten. Zoals door WikiLeaks:
De malware bestaat uit een kernel module die een verborgen netfilter tafel creëert op een Linux-doel; met kennis van de naam van de tabel, kan een operator regels die voorrang hebben op de bestaande Netfilter / iptables regels en verborgen zijn van een gebruiker of zelfs systeembeheerder creëren.
CIA kan verwijderen alle sporen van OutlawCountry
De uitgelekte gebruikershandleiding gepubliceerd door de organisatie laat zien hoe de functie werkt. Het laat ook zien dat het agentschap in staat is om al zijn sporen te verwijderen zodra de aanval voorbij is.
De OutlawCountry instrument bestaat uit een kernel module voor Linux 2.6. De bediener laadt de module via shell toegang tot het doelwit. wanneer loaded, de module een nieuwe netfilter tafel met een obscure naam. De nieuwe tabel staat bepaalde regels die moeten worden gemaakt met behulp van het commando iptables. Deze regels hebben voorrang op de bestaande regels, en zijn alleen zichtbaar voor de beheerder of de lijstnaam is bekend. Wanneer de operator verwijdert de kernel module, de nieuwe tabel ook verwijderd.
Als gewoonlijk, Linux-gebruikers worden aangespoord om hun systemen te updaten naar de meest recente versie, zodat exploits worden vermeden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: