OutlawCountry : Μετά από το εργαλείο ELSA, το οποίο σύμφωνα με το WikiLeaks είναι ένα malware των Windows που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη, έρχεται η αποκάλυψη του OutlawCountry, ένα διαφορετικό εργαλείο hacking που χρησιμοποιεί η υπηρεσία, σε συσκευές Linux.
Ένα εγχειρίδιο χρήσης που διέρρευσε το WikiLeaks αποκαλύπτει ότι η CIA χρησιμοποιεί το OutlawCountry τουλάχιστον από τον Ιούνιο του 2015. Το εργαλείο είναι ειδικά σχεδιασμένο για να ανακατευθύνει την εξερχόμενη κίνηση στο Internet σε άλλες διευθύνσεις.
Αυτό ουσιαστικά σημαίνει ότι οι πράκτορες της CIA μπορούν να παρακολουθήσουν τη δραστηριότητα ενός διακομιστή Linux. Για να είναι όμως αποτελεσματικό το OutlawCountry, η μυστική υπηρεσία πληροφοριών θα πρέπει πρώτα να αποκτήσει προνόμια πρόσβασης root.
Με άλλα λόγια, η CIA θα πρέπει πρώτα να παραβιάσει ένα σύστημα Linux με κάποια διαφορετική μέθοδο πριν μπορέσει να λειτουργήσει το OutlawCountry.
OutlawCountry
Το WikiLeaks αναφέρει ότι η πρώτη έκδοση του OutlawCountry περιέχει ένα kernel module για το CentOS/RHEL 6.x στα 64 bit και μπορεί να λειτουργεί μόνο με προεπιλεγμένους πυρήνες (kernels), ενώ υποστηρίζει μόνο την προσθήκη συγκεκαλυμμένων κανόνων DNAT στο PREROUTING chain.
“Το κακόβουλο λογισμικό αποτελείται από ένα kernel module που δημιουργεί έναν κρυφό πίνακα netfilter σε ένα στόχο Linux. Γνωρίζοντας το όνομα του πίνακα, ο επιτιθέμενος μπορεί να δημιουργήσει κανόνες που υπερισχύουν των υφιστάμενων κανόνων netfilter/iptables και είναι κρυφοί από έναν χρήστη ή ακόμα και από τον διαχειριστή συστήματος”, αναφέρει το WikiLeaks.
Το εγχειρίδιο χρήσης εξηγεί επακριβώς τον τρόπο λειτουργίας του hacking εργαλείου, ενώ αποκαλύπτει ότι η CIA μπορεί να αφαιρέσει όλα τα ίχνη του κακόβουλου λογισμικού μόλις ολοκληρωθεί η επίθεση.
“Το εργαλείο OutlawCountry φέρει ένα λειτουργικό kernel module για το Linux 2.6. Ο επιτιθέμενος φορτώνει το module με shell στο στόχο. Όταν φορτωθεί, το module δημιουργεί ένα νέο πίνακα netfilter. Ο νέος πίνακας επιτρέπει τη δημιουργία ορισμένων κανόνων χρησιμοποιώντας την εντολή iptables. Αυτοί οι κανόνες υπερισχύουν των υφιστάμενων κανόνων και είναι ορατοί μόνο σε ένα διαχειριστή που γνωρίζει το όνομα του πίνακα. Όταν ο επιτιθέμενος αφαιρέσει το kernel module, ο νέος πίνακας αφαιρείται επίσης.”
Ακριβώς όπως στα Windows, συνιστάται στους χρήστες του λειργικού Linux να ενημερώνουν τα συστήματα τους άμεσα στις πιο πρόσφατες εκδόσεις και να αναπτύσσουν όλα τα διαθέσιμα patches που κυκλοφορούν στα επίσημα αποθετήρια τις κάθε διανομής.
WikiLeaks Vault 7
Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.
“Year Zero” η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
“Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
“Dark Matter” exploits που στοχεύουν iPhones και Mac.
“Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
“Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.
“Archimedes”– ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles” ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo: εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.
ELSA malware των Windows που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.