• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Новость Wikileaks рассказала, что ЦРУ использует для Linux-систем малварь OutlawCountry


MisterX

Пользователь
Форумчанин
Регистрация
22.06.2017
Сообщения
55
Репутация
3
По информации журнала Хакер,

Wikileaks продолжает публикацию архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, которые были переданы в распоряжение ресурса неизвестным информатором весной 2017 года. Публикации выходят под кодовым названием и рассказывают о самых разных инструментах и техниках.

На этот раз документы посвящены вредоносу под названием . Обнародованная к малвари датирована июнем 2015 года и описывает OutlawCountry как модуль ядра для Linux 2.6, который помогает специалистам ЦРУ перенаправлять исходящий трафик с зараженного устройства на сторону.


Хотя в бумагах не описан процесс установки малвари, известно, что для этого необходимо иметь shell-доступ и root-привилегии. То есть предполагается, что перед установкой OutlawCountry придется скомпрометировать целевое устройство посредством другой малвари или доверить установку полевому оперативнику.

В работе OutlawCountry полагается на такие простейшие инструменты, как netfilter и iptables. Так, инструкция гласит, что «после загрузки модуль используется для создания таблицы netfilter со сложным именем, которая позволяет создать ряд правил с помощью команды iptables. Эти правила могут иметь приоритет перед уж существующими, и видны только администратору, если имя таблицы известно. Когда оператор удаляет модуль ядра, таблица тоже удаляется».

Также в инструкции сказано, что OutlawCountry v1.0 содержит модуль ядра для 64-разрадных версий CentOS/RHEL 6.x и поддерживает добавление скрытых правил DNAT в PREROUTING.

OutlawCountry подходит как для компрометации серверов, так и домашних систем. Согласно опубликованным бумагам, хеш MD5 для одного из модулей ядра (nf_table_6_64.ko): 2CB8954A3E683477AA5A084964D4665D. Также известно, что имя скрытой таблицы netfilter по умолчанию: dpxvke8h18.
 
Верх Низ