От WikiLeaks публикуваха нови документи, които разкриват инструмент, с който от ЦРУ са пробивали и шпионирали Linux машини, посредством малуер с името OutlawCountry.
Малко след като от WikiLeaks разкриха подробности около това как от ЦРУ са заразявали и пробивали Windows машини, които не са вързани към глобалната мрежа, посредством малуер инструмента Brutal Kangaroo, сега те публикуваха нови документи, показващи атаки за заразяване и шпиониране и на компютри, използващи Linux.
Изтеклата информация е във вид на ръководство за потребителя, където се вижда, че OutlawCountry е базиран на Linux Kernel 2.6 и с негова помощ от ЦРУ могат да модифицират мрежовия трафик и да го пренасочват.
Атакуващият зарежда модула чрез достъп до шела на атакувания компютър и когато той се зареди, се създава нова netfilter таблица с неясно име. Тази нова таблица позволява създаването на определени правила с използването на iptables.
Създадените от инструмента нови правила вземат предимство пред досега съществуващите и са видими само от администратора, при това той трябва да знае името но навата таблица.
Когато атакуващият премахне кернел модула, новосъздадената таблица също се премахва заедно с него. Освен това OutlawCountry има възможност да добави скрити DNAT правила към PREROUTING веригата.
Има обаче доста условия, които трябва да са изпълнени, за да може OutlawCountry да работи коректно.
Атакуваната машина трябва да използва съвместима x64-битова операционна система CentOS/RHEL 6.x, с версия на Linux ядрото 2.6.32.
Също така е необходим достъп до шела на атакувания компютър, както и има нужда от администраторски достъп. Допълнително условие е атакувания компютър да има nat netfilter таблица.
Ако всички тези изисквания са налице, OutlawCountry модулът бива зареден на TARG_1 (виж снимката), а след това атакуващият от ЦРУ може да добави допълнителни скрити iptables правила, за да манипулира трафика между EAST и WEST мрежите.
Тази информация обаче едва ли ще предизвика някакви дълбоки вълнения след Linux средите, предвид сложните изисквания, които трябва да бъдат изпълнени, за да може този малуер да работи.
Към днешна дата актуалната версия на Linux ядрото е 4.11 и повечето потребители отдавна използват версии от 4.х клона.
Осигуряването на достъп до шела, както и администраторски достъп, също са условия, които затрудняват допълнително успешното зареждане на зловредния инструмент, а и трябва да използвате определена Linux дистрибуция, която също трябва да е с определена версия. В днешно време е почти невъзможно да се пробие Linux система с OutlawCountry, като на атакуващия ще му е нужна огромна доза късмет, граничеща с нула.
