A CIA vem usando a ferramenta desde pelo menos 2015 .
Após a ELSA , que de acordo com WikiLeaks é o malware do Windows da CIA que pode ajudar a determinar a localização de um usuário específico, aqui vem outro despejo revelando OutlawCountry, uma ferramenta de hacking diferente usada pela agência, mas que é essa vez voltada para dispositivos Linux.
Um manual de usuário vazado revela que a CIA vem usando o OutlawCountry desde pelo menos junho de 2015, com a ferramenta especificamente desenvolvida para redirecionar o tráfego de Internet de saída para outros endereços. Isso basicamente significa que os agentes da CIA podem monitorar a atividade de um servidor Linux, mas para que a OutlawCountry seja efetiva, a agência precisa primeiro obter privilégios de acesso e privilégio de shell.
Em outras palavras, a CIA precisa comprometer um sistema Linux com um método diferente antes de implantar OutlawCountry, mas, como é o caso do Windows, há uma boa chance de a agência já ter outras explorações com base em vulnerabilidades desconhecidas nos sistemas.
Atualização, atualização, atualização
O WikiLeaks diz que a primeira versão do OutlawCountry contém um módulo kernel para CentOS / RHEL 6.x de 64 bits e só funcionará com os kernels padrão, além de apenas suportar a adição de regras DNAT secretas à cadeia PREROUTING.
"O malware consiste em um módulo do kernel que cria uma tabela de netfilter escondida em um alvo Linux; Com o conhecimento do nome da tabela, um operador pode criar regras que tenham precedência sobre as regras existentes de netfilter / iptables e sejam ocultas de um usuário ou mesmo do administrador do sistema ", explica WikiLeaks.
O manual do usuário explica como funciona a ferramenta de hacking, ao mesmo tempo em que revela que a CIA pode remover todos os traços do malware assim que o ataque for concluído.
"A ferramenta OutlawCountry consiste em um módulo kernel para Linux 2.6. O operador carrega o módulo via acesso de shell ao alvo. Quando carregado, o módulo cria uma nova tabela de netfilter com um nome obscuro. A nova tabela permite que determinadas regras sejam criadas usando o comando iptables. Essas regras têm precedência sobre as regras existentes e são visíveis apenas para um administrador se o nome da tabela for conhecido. Quando o operador remove o módulo do kernel, a nova tabela também é removida ", explica o manual .
Assim como no Windows, os usuários do Linux são recomendados para atualizar sistemas para as versões mais recentes e para implantar todos os patches disponíveis que ajudariam a proteger dispositivos contra as façanhas da CIA.
Até a próxima!!
Nenhum comentário:
Postar um comentário