DevSecOps

20 jul, 2017

WikiLeaks  – CIA Desenvolveu Malware OutlawCountry Para Hackear Sistemas Linux

Publicidade

O WikiLeaks lançou um novo lote de documentos que detalham a ferramenta OutlawCountry da CIA usada para espionar remotamente usuários Linux.

WikiLeaks
WikiLeaks

O WikiLeaks lançou um novo lote de documentos a partir do vazamento Vault 7 que detalha uma ferramenta da CIA, chamada OutlawCountry, usado pela agência com a finalidade de espionar remotamente computadores executando sistemas operacionais Linux.

De acordo com a documentação vazada pelo WikiLeaks, a ferramenta OutlawCountry foi projetada para redirecionar todo o tráfego de rede de saída no computador direcionado para sistemas controlados pela CIA para ex-filtração e infiltração.

A ferramenta consiste de um módulo kernel Linux 2.6 que os hackers da CIA carregam por meio do acesso ao Shell ao sistema alvo.

A principal limitação da ferramenta é que os módulos do kernel só funcionam com o kernel Linux compatível abaixo da lista de pré-requisitos incluídos na documentação:

  • (S//NF) O alvo deve estar executando uma versão compatível 64-bit do CentOS/RHEL 6.x
  • (versão do kernel 2.6.32)
  • (S//NF) O operador deve ter acesso de Shell ao alvo.
  • (S//NF) O alvo deve ter uma tabela netfilter “nat”

O módulo permite a criação de uma tabela netfilter oculta com um nome vago em um usuário Linux.

“A ferramenta OutlawCountry consiste em um módulo kernel Linux 2.6. O operador carrega o módulo via acesso de Shell ao alvo. Quando carregado, o módulo cria uma nova tabela netfilter com um nome vago. A nova tabela permite que certas regras sejam criadas usando o comando “iptables”. Essas regras têm precedência sobre as regras existentes e só são visíveis para um administrador se o nome da tabela for conhecido”. Lê-se no manual do usuário OutlawCountry. “Quando o operador remove o módulo do kernel, a nova tabela também é removida”.

No diagrama a seguir, o operador da CIA carrega o OutlawCountry no alvo (TARG_1), então ele pode adicionar regras ocultas do iptables para modificar o tráfego de rede entre as redes OESTE e LESTE. Por exemplo, os pacotes que devem ser roteados de WEST_2 para EAST_3 podem ser redirecionados para EAST_4.
O manual não inclui informações relacionadas à forma como o invasor injeta o módulo do kernel no sistema operacional alvo. É provável que os espiões cibernéticos aproveitem várias ferramentas hacking afim de explorar seu arsenal para comprometer o alvo.

O OutlawCountry contém apenas um módulo de kernel 64-bit CentOS/RHEL 6.x que torna possível a injeção apenas no kernel Linux padrão. Além disso, o OutlawCountry v1.0 suporta apenas a adição de regras DNAT ocultas para a cadeia PREROUTING”. Continua o manual vazado pelo WikiLeaks.

Alguns dias atrás, Wikileaks publicou um documento detalhando uma ferramenta supostamente usada pela CIA dos EUA para monitorar as localizações das pessoas através de seus dispositivos habilitados para WiFi.

O malware codenome Elsa implementa o recurso de localização geográfica, ele verifica pontos de acesso WiFi visíveis e registra detalhes como o identificador ESS, endereço MAC e força de sinal em intervalos regulares.

Abaixo da lista de lançamento publicado pelo WikiLeaks desde março: