1 jul 2017

OutlawCountry, la herramienta de la CIA para controlar Linux [Vault 7 - Wikileaks]

Wikileaks, como parte de su campaña Vault7, ha revelado la existencia de OutlawCountry, una herramienta para Linux, desarrollado por la CIA en 2015.

Hasta ahora, la mayoría de las herramientas y utilidades publicadas por Wikileaks han estado dirigidas a usuarios que usan Windows; es algo perfectamente comprensible, ya que es el sistema operativo más usado del mundo con mucha diferencia.

Linux no es perfecto, y agencias de seguridad como la CIA se han asegurado de encontrar vulnerabilidades que les permita rastrear a los objetivos que no usan Windows. OutlawCountry es una de las herramientas que usan. OutlawCountry es una herramienta que permite interceptar todo el tráfico de datos que sale de un ordenador con Linux; este tráfico pasa por servidores de la CIA, que analizan y capturan la información que interesa al agente que está dirigiendo la operación.

Este malware consiste en un módulo para el kernel de la versión 2.6 de Linux; una vez instalado, el programa crea una nueva tabla de Netfilter, el framework de Linux dedicado a la gestión y manipulación de paquetes de red, con el que puede crear nuevas reglas para la gestión de red del sistema.

Estas nuevas reglas tienen preferencia sobre las reglas que haya implementado el usuario o la distro que usemos; no solo eso, sino que sólo son visibles si usamos privilegios de administrador, e incluso así es necesario saber el nombre de la tabla de Netfilter.

De esta forma, el usuario no puede saber que todas las webs que está navegando, todos los archivos que se está descargando, y todas las conversaciones que está teniendo, están pasando por un servidor de la CIA; al menos, no si no sospecha algo e intenta buscarlo por su cuenta, algo bastante difícil.

Hay algunos detalles que nos dicen que OutlawCountry no es un malware tan completo como otros desarrollados para Windows; por ejemplo, que sus documentos no dicen nada de cómo infectar el sistema. Eso queda en manos del agente, que tendrá que forzar la instalación de un módulo del kernel; para eso necesitará al menos acceso directo, y la contraseña del administrador del sistema.

Por lo tanto, este no es un malware todopoderoso para Linux; pero no deja de ser una herramienta muy potente para atacar un sistema que normalmente puede ignorar este tipo de problemas.

Fuente: El Español

Suscríbete a nuestro Boletín

3 comentarios:

  1. "Este malware consiste en un módulo para el kernel de la versión 2.6 de Linux"
    Pero esto es muy viejo, no creo que les haya servido de mucho.

    ResponderBorrar
  2. En las empresas grandes al menos, hay muchos sistemas obsoletos y con esta version de Kernel.

    ResponderBorrar
  3. Estoy tranquilo. Creo que nadie ha tenido acceso físico a mis PC... O eso creo... ;)

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!