USD 66.5 ЕВРО 75.62

Вредоносное ПО для Linux: WikiLeaks раскрывает информацию об инструментарии взлома OutlawCountry, созданном ЦРУ.

Экономика

Вредоносная программа OutlawCountry отправляет трафик с Linux-компьютеров на серверы ЦРУ.

В последнем релизе WikiLeaks Vault7 опубликованы документы ЦРУ, в которых подробно описаны инструменты взлома вредоносного ПО OutlawCountry, предназначенного для Linux-систем.

OutlawCountry упоминается в документах от 4 июня 2015 года как модуль ядра для Linux 2.6, который позволяет операторам ЦРУ перенаправлять исходящий трафик на сервер, которым они управляют, создавая таблицу скрытых netfilter или iptables. Netfilter — это система фильтрации пакетов в сетевом стеке ядра Linux.

OutlawCountry создает скрытую таблицу netfilter с «неясным именем», которую оператор может использовать для создания новых правил, переопределяющих существующие правила netfilter. Новые правила могут быть видны только администратору, если известно имя таблицы, которое, согласно документам, называется «dpxvke8h18».

Вредоносная программа разработана для систем Red Hat Enterprise Linux 6.x и CentOS 6.x с 6,4-битной версией ядра 2.6.32. Тем не менее, оператор должен иметь скомпрометированную цель для загрузки вредоносного модуля и должен получить привилегии root для работы с вредоносным ПО.

WikiLeaks отмечает, что «оператору придется полагаться на доступные эксплойты ЦРУ и бэкдоры, чтобы внедрить модуль ядра в целевую операционную систему».

В рекомендациях RedHat описана команда, используемая для определения наличия загрузки модуля ядра ЦРУ.

WikiLeaks опубликовала более 8 000 документов ЦРУ, когда выпустила Vault 7 в марте, и раскрывала по несколько документов в месяц, в которых подробно описаны конкретные вредоносные программы ЦРУ.

OutlawCountry — это 14-я вредоносная программа, подробно описанная в этой серии. Ранее в этом месяце были опубликованы детали «Elsa», предназначенной для отслеживания местоположения ПК с Windows, «Brutal Kangaroo» для перемещения по сетям через зараженную USB-флешку, вредоносное ПО для роутеров «CherryBlossom» и «Pandemic», нацеленную на сервис обмена файлов Windows.