OutlawCountry: ابزار هک جدید CIA مخصوص سیستم‌های لینوکسی

OutlawCountry: ابزار هک جدید CIA مخصوص سیستم‌های لینوکسی

هر روز خبرهای جدیدتری دربارهٔ CIA و ابزارهای مورد استفادهٔ آن فاش می‌شود و امروز هم نوبت به بدافزاری رسیده که در لینوکس کاربرد دارد؛ اخیراً اسناد جدیدی توسط ویکیلیکس منتشر شده که در آن ردپای ابزاری برای هک و جاسوسی از سیستم‌های لینوکسی تحت عنوان OutlawCountry به چشم می‌خورد. این ابزار شامل یک ماژول کرنل است که با ایجاد یک Netfilter Table مخفی، اقدام به تعریف قوانین جدید و دستورات iptables کرده و به این ترتیب، اپراتور این ابزار امکان ویرایش و تغییر مسیر ترافیک شبکه را خواهد داشت!

چندی پیش، اخباری مربوط به بدافزاری متعلق به CIA به نام Brutal Kangaroo (کانگوروی وحشی) که کامپیوترهای آفلاین و اصطلاحاً Air-Gapped را بااستفاده از فلش USB آلوده می‌کرد منتشر شد و درحال‌حاضر نیز ویکیلیکس ابزار هک و جاسوسی دیگری از CIA را فاش کرده که OutlawCountry نام دارد. جالب‌تر این‌که این مورد برخلاف ابزار قبلی، دستگاه‌های لینوکسی را هدف قرار داده است.

جزئیات آسیب‌های این بدافزار جدید، به شکل یک User Manual منتشر شده که نشان می‌دهد OutlawCountry شامل یک ماژول کرنل برای لینوکس 2.6 است که CIA می‌تواند از طریق آن ترافیک شبکه را ویرایش کند و آن‌را برای اهدافی مانند نفوذ به شبکه و خروج اطلاعات تغییر دهد.

پیش‌نیازهای OutlawCountry برای کارکرد صحیح، شامل یک سیستم‌عامل 64 بیتی CentOS/RHEL 6.x، دسترسی به شل و روت هدف است و سیستم هدف باید یک جدول Netfilter از نوع nat داشته باشد.

نحوهٔ کارکرد OutlawCountry
البته جزئیات عملکرد این ابزار به‌طور کامل در اسناد توضیح داده نشده است ولی تا به این‌جای کار می‌دانیم که اپراتور این بدافزار لینوکسی، ماژول مربوطه را از طریق دسترسی شل روی سیستم هدف بارگزاری کرده و سپس این ماژول یک جدول Netfilter با چندین نام نامفهوم ایجاد می‌کند.

جدول‌های تازه ساخته شده، اجازهٔ ایجاد قوانین مشخصی را با کمک دستور iptables می‌دهند؛ این قوانین جدید، اولویت بیشتری نسبت به قوانین قدیمی خواهند داشت و فقط درصورتی برای کاربر قابل‌مشاهده هستند که او نام این جداول را بداند. این جدول‌ها پس از پاک کردن ماژول توسط هکر، خودبه‌خود پاک می‌شوند و اثری از آن‌ها باقی نمی‌ماند. به نقل از ویکیلیکس:

OutlawCountry نسخهٔ 1.0 فقط از اضافه کردن قوانین DNAT مخفی به Prerouting Chain پشتیبانی می‌کند.

در مورد تغییر در ترافیک شبکه نیز این‌گونه است که ماژول OutlawCountry در سیستم هدف بارگزاری می‌شود؛ سپس یک هکر در CIA می‌تواند قوانین مخفی iptables بیشتری اضافه کند و ترافیک شبکه بین محدودهٔ EAST و WEST را دستکاری کند. به‌عنوان مثال، ترافیک بین WEST_2 و EAST_3 را به EAST_4 یا EAST_5 نیز بفرستد.

منبع


مرتضی صمدی