維基解密：CIA開發「OutlawCountry」入侵Linux系統

E安全7月3日訊，維基解密最近又發布一批新的文檔，其中詳細介紹了CIA工具「OutlawCountry（法外之地）」——該工具專門用於以遠程方式入侵運行有Linux操作系統的計算機。

本文系E安全獨家編譯報道

根據維基解密泄露出的文檔，「法外之地」工具的設計目的在於將目標Linux計算機上的全部出站網路流量重新定向至CIA控制下的系統當中，從而實現數據的提取與滲透。

「法外之地」 Linux入侵工具當中包含一款面向Linux 2.6的內核模塊，CIA黑客通過shell訪問目標系統從而完成該模塊的載入。

這款工具的主要局限在於，該內核模塊只適用於一部分特定Linux內核，文檔中列出的具體兼容版本如下所示：

· (S//NF)目標必須運行有CentOS/Red Hat Enterprise Linux 6.x之64位兼容版本

(內核版本為 2.6.32)。

· (S//NF) 操作人員必須具備用於接入目標設備的shell。

· (S//NF)目標必須擁有一套「nat」網路過濾表。

該模塊允許為目標Linux用戶創建一套隱藏且不具備明確名稱的網路過濾表。

法外之地」用戶手冊同時解釋稱

「法外之地」工具由面向Linux 2.6的內核模塊構成。操作人員可通過shell接入目標並實現該模塊的載入。而這份新表則允許使用『iptables』命令以創建特定規則。這些規則優先於現有規則，且如果表名稱已知，則只有管理員可以進行查看。當操作人員移除該內核模塊時，該新表也將被一併移除。」

在下圖中，CIA操作人員將」法外之地」載入到了目標（TARG_1）當中，並隨後添加了多項隱藏iptables規則以修改WEST與EAST網路之間的網路流量。舉例來說，原本應由WEST_2被路由至EAST_3的數據包有可能被重新定向至EAST_4。

本文系E安全獨家編譯報道

這份手冊並沒有提及與攻擊者將該內核模塊注入至目標Linux操作系統當中的具體方式信息。根據推測，網路間諜人員有可能會利用多種武器庫內的黑客工具及安全漏洞入侵運行有Linux操作系統的目標設備。

「法外之地」中只包含一種面向64位CentOS/RHEL 6.x版本的內核模塊，這意味著其可能只會被注入至默認Linux內核當中。

維基百科發布的這份用戶手冊同時補充稱，「(S//NF) 「法外之地」 v1.0當中包含一種面向64位CentOS/RHEL 6.x版本的內核模塊。此模塊只作用於默認內核。另外，『法外之地』v1.0僅支持向PREROUTING鏈添加隱藏的DNAT規則。」

維基解密自三月以來公開的CIA工具

下面是E安全整理的維基解密自今年3月以來披露發布的CIA工具：

• OutlawCountry（「法外之地」，入侵運行有Linux操作系統的計算機）；

• Elsa（「艾爾莎」，利用WiFi追蹤電腦地理位置）；

• Brutal Kangaroo（「野蠻袋鼠」，攻擊網閘設備和封閉網路）；

• Emotional Simian（「情感猿猴」，針對網閘設備的病毒）

• Cherry Blossom （「櫻花」，攻擊無線設備的框架）；

• Pandemic（「流行病」，文件伺服器轉換為惡意軟體感染源）；

• Athena（「雅典娜」，惡意間諜軟體，能威脅所有Windows版本）；

• AfterMidnight （「午夜之後」，Winodws平台上的惡意軟體框架）；

• Archimedes（「阿基米德」，中間人攻擊工具） ；

• Scribbles（CIA追蹤涉嫌告密者的程序）；

• Weeping Angel （「哭泣天使」，將智能電視的麥克風轉變為監控工具）；

• Hive （「蜂巢」，多平台入侵植入和管理控制工具）；

• Grasshopper（「蝗蟲」，針對Windows系統的一個高度可配置木馬遠控植入工具）；

• Marble Framework （「大理石框架」，用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證）；

• Dark Matter（「暗物質」，CIA入侵蘋果Mac和iOS設備的技術與工具）

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！