OutlawCountry é o nome da mais recente CIA exploit revelado pelos WikiLeaks. Ao contrário de ELSA, que foi concebido para direccionar sistemas Windows para determinar a localização de um utilizador específico, OutlawCountry como alvo os sistemas Linux. De acordo com um manual do usuário que vazou, a CIA usa a ferramenta de hacking desde junho 2015 Ou mais cedo.
Detalhes técnicos da exploração do OutlawCountry Linux
A ferramenta foi projetada para redirecionar o tráfego de saída da Internet para outros endereços permitindo que a agência monitore a atividade dos servidores Linux. Contudo, para a ferramenta funcionar corretamente, acesso shell e privilégios de root devem ser obtidos primeiro.
Isso significa que os sistemas visados pela CIA precisam ser comprometidos por meio de uma abordagem diferente, e só depois o OutlawCountry pode ser implantado. Ainda não se sabe quais outras ferramentas foram usadas junto com OutlawCountry, mas considerando como os sistemas Windows foram direcionados, é muito provável que a CIA tenha obtido acesso por meio de vulnerabilidades ainda desconhecidas no Linux.
De acordo com o WikiLeaks, a primeira versão do OutlawCountry tem um módulo de kernel para CentOS / RHEL 6.x de 64 bits que só funciona com kernels padrão. Ele também suporta apenas a adição de regras DNAT ocultas à cadeia PREROUTING. Conforme explicado pelo WikiLeaks:
O malware consiste em um módulo de kernel que cria uma tabela de filtro de rede oculta em um alvo Linux; com conhecimento do nome da mesa, um operador pode criar regras que têm precedência sobre as regras existentes de netfilter / iptables e são ocultadas de um usuário ou mesmo do administrador do sistema.
A CIA pode remover todos os vestígios de OutlawCountry
O manual do usuário que vazou Publicados pela organização revela como a ferramenta funciona. Também revela que a agência é capaz de remover todos os seus vestígios assim que o ataque terminar.
A ferramenta OutlawCountry consiste em um módulo de kernel para Linux 2.6. O operador carrega o módulo por meio de acesso shell ao destino. quando carregado, o módulo cria uma nova tabela netfilter com um nome obscuro. A nova tabela permite que certas regras sejam criadas usando o comando iptables. Essas regras têm precedência sobre as regras existentes, e só são visíveis para um administrador se o nome da tabela for conhecido. Quando o operador remove o módulo do kernel, a nova tabela também foi removida.
Como sempre, Os usuários do Linux são incentivados a atualizar seus sistemas para a versão mais recente para evitar explorações.