OutlawCountry یکی از ابزارهای هک CIA مخصوص سیستمهای لینوکسی است که این ابزار شامل کِرنِلی است که با ایجاد یک به اصطلاح Netfilter Table، اقدام به تعریف قوانین جدید و دستورات iptables کرده و بدین ترتیب مهاجم امکان ویرایش و تغییر مسیر ترافیک شبکه را خواهد داشت (از دیگر بدافزارهای متعلق به CIA میتوان به Brutal Kangaroo یا کانگوروی وحشی اشاره کرد که کامپیوترهای به اصطلاح Air-Gapped را با استفاده از فِلش آلوده میکند.)
نحوهٔ کارکرد OutlawCountry
با بررسی جزئیات آسیبهای این بدافزار، درمییابیم که CIA میتواند از طریق OutlawCountry ترافیک شبکه را ویرایش کند و آن را برای اهدافی مانند نفوذ به شبکه و استخراج دیتا تغییر دهد.
جزئیات عملکرد این ابزار به طور کامل در اسناد لورفته توضیح داده نشده است ولیکن در همین حد میدانیم که اپراتور این بدافزار لینوکسی، ماژول مربوطه را از طریق دسترسی شِل روی سیستم هدف بارگزاری کرده و سپس این ماژول یک Netfilter Table با چندین نام نامفهوم ایجاد میکند که این جداول اجازهٔ ایجاد قوانین مشخصی را با کمک دستور iptables میدهند که این قوانین جدید اولویت بیشتری نسبت به قوانین قدیمی خواهند داشت و فقط در صورتی برای کاربر قابلمشاهده هستند که وی نام این جداول را بداند (لازم به ذکر است که این جدولها پس از پاک کردن ماژول مربوطه توسط هکر، خود به خود پاک میشوند و اثری از آنها باقی نمیماند.)
در مورد تغییر در ترافیک شبکه نیز روال کار اینگونه است که OutlawCountry در سیستم هدف بارگزاری شده سپس یک هکر در CIA میتواند قوانین مخفی iptables بیشتری اضافه کند و ترافیک شبکه بین محدودهٔ EAST و WEST را دستکاری کند (به عنوان مثال، ترافیک بین WEST_2 و EAST_3 را به EAST_4 یا EAST_5 نیز بفرستد.)