OutlawCountry: Wikileaks desvela el malware para Linux de la CIA

Outlaw Country es un módulo para el núcleo de Linux desarrollado por la CIA, que una vez implantado puede redirigir todo el tráfico, tomando preferencia sobre las reglas de los iptables (el firewall incluido por defecto en el kernel) al crear una tabla oculta en el framework netfilter.

WikiLeaks publicó más documentos de software de ciberespionaje vinculados a la Agencia Central de Inteligencia (CIA) que vulneraban sistemas Microsoft Windows como también Linux. El malware Elsa se implementaba para captar la ubicación geográfica de dispositivos que cuenten con soporte de WiFi, como notebooks y smartphones que ejecutaban sistemas operativos de Microsoft.

OutlawCountry

OutlawCountry en su versión 1.0 es unicamente compatible con CentOS y RHEL (6.x) y con versiones del kernel estándar (Linux 2.6). Ademas el atacante debe tener acceso a la shell del sistema y privilegios de root (casi nada).

Requerimientos:

• (S//NF) The target must be running a compatible 64-bit version of CentOS/RHEL 6.x
  (kernel version 2.6.32).
• (S//NF) The Operator must have shell access to the target.
• (S//NF) The target must have a “nat” netfilter table

El implante se realiza a través de una utilidad en linea de comandos llamada insmod, diseñada para insertar módulos en el núcleo de Linux (aunque eso es algo que seguramente modprobe hace mejor).

Aunque bastante “prometedor” el programa, también tiene sus problemas de persistencia (por ej. si se reinicia el servicio de iptables) y de configuración, estableciéndose las reglas DNAT unicamente mediante la cadena PREROUTING.

El manual de OutlawCountry que se filtró incluye un hash MD5 para uno de los módulos del kernel (nf_table_6_64.ko): 2CB8954A3E683477AA5A084964D4665D. 

El nombre predeterminado para la tabla de netfilter oculto es: dpxvke8h18.

Elsa: La CIA geolocalizaba dispositivos

Este malware una vez instalado de forma persistente en un dispositivo de destino era utilizado para explotaciónes de la CIA, analizando los puntos de acceso WiFi y registrando el identificador ESS (implementación que permite vincular puntos de acceso para crear una red inalámbrica de una mayor cobertura) como también la dirección MAC (identificador único del hardware de red) y registrando la intensidad de la señal inalámbrica.

Luego de esto procedían a realizar la recolección de datos ya que el sistema, una vez infectado, no necesariamente tenia que estar en línea o conectado a un punto de acceso. Sólo necesitaba ejecutarse con un dispositivo Wi-Fi habilitado conectado a Internet. Este malware intentaba utilizar bases de datos geográficas públicas de Google o Microsoft para encontrar la posición del dispositivo almacenando los datos de longitud y latitud. La información del punto de acceso como la geolocalización recogida se almacenaba cifrada en el dispositivo atacado para su posterior extracción.

WikiLeaks afirmó que “El malware en sí no enviaba estos datos a un servidor de la CIA. En lugar de ello, el operador debería recuperar activamente el archivo de registro en el dispositivo usando exploits y backdoors”. Así se diseñaba una base de datos con la ubicación geográfica y creando un perfil de seguimiento de los dispositivos móviles vulnerados.

Fuentes:

http://segundoenfoque.com/la-cia-geolocalizaba-dispositivos-y-vulneraba-sistemas-linux-42-361207/

http://lamiradadelreplicante.com/2017/06/30/outlawcounty-un-exploit-de-la-cia-para-sistemas-linux/