WikiLeaks опубликовала инструмент ЦРУ для взлома систем на базе Linux

WikiLeaks в рамках проекта Vault 7 обнародовала порцию документов. Данный пакет описывает инструмент OutlawCountry, суть которого предполагает удаленный шпионаж за компьютерами под управлением Linux.

В опубликованном пакете документов сказано, что Центральное разведывательное управление США эксплуатировало данный инструмент для перенаправления исходящего трафика с целевого компьютера на контролируемые агентством системы для эксфильтрации и инфильтрации данных. Вредоносное ПО активирует модуль ядра Linux 2.6, он же создает скрытую таблицу Netfilter на компьютере на базе Linux. Если оператор знает имя данной таблицы, то он имеет возможность создавать правила, имеющие приоритет над существующими правилами Netfilter/Iptables, которые скрыты от пользователя и даже системного администратора. При удалении модуля ядра, новая таблица также удаляется.

В опубликованном документе не описывается подробная установка вредоносного ПО. Внедрение модуля ядра осуществляется при помощи доступных эксплоитов и бэкдоров ЦРУ. OutlawCountry v1.0 содержит модуль ядра для 64-битного CentOS/RHEL 6.x (версия ядра 2.6.32), который по умолчанию работает с ядрами. Кроме того, OutlawCountry v1.0 поддерживает только добавление скрытых правил DNAT в PREROUTING цепь.

До этого WikiLeaks выкладывала инструкцию по эксплуатации инструмента ELSA, который дает возможность отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi. На данный момент портал WikiLeaks опубликовал 14 пакетов документов, которые описывают различные инструменты из арсенала ЦРУ - OutlawCountry, ELSA, Cherry Blossom , Pandemic , Athena , AfterMidnight , Archimedes, Scribbles , Weeping Angel, Hive, Grasshopper , Marble , Dark Matter и Year Zero .

Netfilter - это межсетевой экран, встроенный в ядро Linux с версии 2.4.

IPTables - утилита командной строки. Является стандартным интерфейсом управления работой межсетевого экрана Netfilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются права суперпользователя.