Alfonso Maruccia

Vault 7/ OutlawCountry, la CIA ha le mani in pasta anche su Linux

L'ultima rivelazione di WikiLeaks riguarda uno degli strumenti a disposizione dell'intelligence per penetrare nei sistemi basati su Linux, una piattaforma sicura ma non certo a prova di controspionaggio

Roma - I documenti segreti di Vault 7 continuano a riservare sorprese, con WikiLeaks che è questa volta impegnata a svelare l'esistenza di un tool per lo spionaggio su Linux chiamato OutlawCountry. La CIA sarebbe dunque in grado di compromettere senza problemi anche le macchine basate su sistemi FOSS, sebbene le controindicazioni non manchino e le informazioni sulle procedure di infezione risultino ancora misteriose.

OutlawCountry "v.10" è in sostanza un modulo progettato per agire nello spazio del kernel Linux, spiega il manuale condiviso da WikiLeaks risalente al 4 giugno 2015, e dà agli agenti operativi della CIA la possibilità di intercettare e dirottare tutto il traffico telematico in uscita dal sistema infetto verso una destinazione terza.

Il modulo kernel di OutlawCountry fa uso - anzi abuso - dei tool per il filtraggio dei pacchetti di rete integrati su Linux, strumenti come netfilter e iptables a cui viene aggiunta una nuova tabella dal nome "oscuro" con regole di filtraggio che hanno la precedenza sulle altre. Se il modulo viene rimosso da quello che il manuale chiama "Operatore", anche la tabella con le regole di filtraggio finisce nel cestino.
La capacità di controllare tutto il traffico di un sistema garantisce potenzialità di notevoli per lo spionaggio, e i "danni" praticabili con OutlawCountry sono ovviamente maggiori se il PC infetto risulta essere un server piuttosto che una comune macchina desktop.

Quello che il nuovo documento non dice è il modo in cui gli agenti CIA possono installare il modulo per lo spionaggio nel kernel di Linux, segno del fatto che occorrono altri strumenti - evidentemente ancora inediti - per effettuare con successo l'infezione.

La stessa installazione di OutlawCountry presenta non poche difficoltà, visto che sono necessari sia l'accesso alla shell di sistema che i privilegi di accesso "root" sul PC bersaglio. Il modulo, infine, funziona solo con le distro CentOS/RHEL 6.x a 64-bit con i kernel di default.

Alfonso Maruccia
Notizie collegate
24 Commenti alla Notizia Vault 7/ OutlawCountry, la CIA ha le mani in pasta anche su Linux
Ordina
  • hanno sviluppato un modulo del kernel e hanno il .ko compilato per alcuni kernel e non altri.
    Se vi fa strano che per caricare un modulo nel kernel si abbia bisogno di un account privilegiato... bhè... la colpa è vostraOcchiolino
    non+autenticato
  • - Scritto da: mementomori
    > hanno sviluppato un modulo del kernel e hanno il
    > .ko compilato per alcuni kernel e non
    > altri.
    > Se vi fa strano che per caricare un modulo nel
    > kernel si abbia bisogno di un account
    > privilegiato... bhè... la colpa è vostra
    >Occhiolino

    E bravo il James Bond... meno male che ci sei tu a spiegarci che questa roba dell'NSA non serve a nulla.
    non+autenticato
  • Serve a poco. Ma con una buona dose di Social Engineering diventa uno strumento molto potente.
    non+autenticato
  • Bah, Linux è un sistema operativo e come gli altri è costituito da milioni di linee di programma.
    Per la legge dei grandi numeri non solo non sarà mai perfettamente funzionante, ma sarà anche sempre hackerabile.
    non+autenticato
  • Va anche detto che questo modulo te lo ficchi in qlo senza un accesso root.
    non+autenticato
  • Indovinate dove funzia? E certo che può funzionare, se la manina la dà l'azienda dal cappello rosso!

    State lontani da redhat e derivate..
    non+autenticato
  • - Scritto da: jacula
    > Indovinate dove funzia? E certo che può
    > funzionare, se la manina la dà l'azienda dal
    > cappello
    > rosso!
    >
    > State lontani da redhat e derivate..

    Io invece continuo a starci vicino vicino per questi motivi:
    se ha bisogno di accesso alla shell e di root e' violabile come qualunque altra distro;
    se crea una tabella di routing e non me ne accorgo c'e' poco da incolpare il distributore;
    se domani esce fuori che esiste un tool dedicato a debian o slack che faccio? Passo a windows server?
    non+autenticato
  • - Scritto da: underground
    > - Scritto da: jacula
    > > Indovinate dove funzia? E certo che può
    > > funzionare, se la manina la dà l'azienda dal
    > > cappello
    > > rosso!
    > >
    > > State lontani da redhat e derivate..
    >
    > Io invece continuo a starci vicino vicino per
    > questi
    > motivi:
    > se ha bisogno di accesso alla shell e di root e'
    > violabile come qualunque altra
    > distro;
    > se crea una tabella di routing e non me ne
    > accorgo c'e' poco da incolpare il
    > distributore;
    > se domani esce fuori che esiste un tool dedicato
    > a debian o slack che faccio? Passo a windows
    > server?

    No! Canbi almeno nick giusto per decenza.Sorride
    non+autenticato
  • - Scritto da: underground
    > - Scritto da: jacula
    > > Indovinate dove funzia? E certo che può
    > > funzionare, se la manina la dà l'azienda dal
    > > cappello
    > > rosso!
    > >
    > > State lontani da redhat e derivate..
    >
    > Io invece continuo a starci vicino vicino per
    > questi
    > motivi:
    > se ha bisogno di accesso alla shell e di root e'
    > violabile come qualunque altra
    > distro;
    > se crea una tabella di routing e non me ne
    > accorgo c'e' poco da incolpare il
    > distributore;
    > se domani esce fuori che esiste un tool dedicato
    > a debian o slack che faccio? Passo a windows
    > server?

    I programmatori RH scrivono codice spazzatura e quando qualcuno glielo fa notare rispondono: "non è un problema mio".

    Fatti una googlata.
    non+autenticato
  • - Scritto da: suc hat

    > I programmatori RH scrivono codice spazzatura e
    > quando qualcuno glielo fa notare rispondono: "non
    > è un problema
    > mio".

    e si ostinano a scrivere, nel 2017, tutti il codice in C

    quale sia la ragione di tanto amore per un linguaggio il cui standard e' pieno zeppo di undefined behavior...

    oddio C++ sta messo peggio, quasi zero undefined ma piu' problemi su praticamente ogni altro fronte

    ma haskell, ocaml, rust, ma pure go, gli fanno tanto schifo? voglio dire, la societa' dietro docker c'ha fondato un'ecosistema su go, quindi suppongono che abbia le carte in regola per sostituire, almeno nell'userland, il C
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: suc hat
    >
    > > I programmatori RH scrivono codice
    > spazzatura
    > e
    > > quando qualcuno glielo fa notare rispondono:
    > "non
    > > è un problema
    > > mio".
    >
    > e si ostinano a scrivere, nel 2017, tutti il
    > codice in
    > C
    >
    > quale sia la ragione di tanto amore per un
    > linguaggio il cui standard e' pieno zeppo di
    > undefined
    > behavior...
    >
    > oddio C++ sta messo peggio, quasi zero undefined
    > ma piu' problemi su praticamente ogni altro
    > fronte
    >
    > ma haskell, ocaml, rust, ma pure go, gli fanno
    > tanto schifo? voglio dire, la societa' dietro
    > docker c'ha fondato un'ecosistema su go, quindi
    > suppongono che abbia le carte in regola per
    > sostituire, almeno nell'userland, il C

    Ero interessato a Rust ultimamente, ma da quanto ho capito al momento è praticamente impossibile costruire qualcosa con librerie condivise, quindi per ora per quanto mi riguarda la sua utilità è zero. Ammetto però che sono sempre rimasto su Cargo, non ho idea se la situazione sia diversa usando Meson o altri sistemi di build.
    Shiba
    4103
  • Debian the bestA bocca aperta
  • - Scritto da: oltrelamente
    > Debian the bestA bocca aperta

    Volevi dire devuan?
    non+autenticato
  • DeBBian... con systemd nel deretano Rotola dal ridere.
    Debian non esiste più, quello che resta è una derivata di RH.
    non+autenticato
  • E cmq avere tanta entropia in un sistema(diversi programmi/kernel/librerie etc..) non credo sia un beneficio per chi tenta di scrivere questi exploit...
    Una ragione in più per evitare systemd?
    non+autenticato
  • - Scritto da: Robbba

    > Una ragione in più per evitare systemd?

    una ragione per evitare linux a questo punto

    come molti qui sanno, sono un utente linux da anni, ma la strada che hanno preso negli ultimi 2-3 anni mi fa accapponare la pelle

    praticamente ha vinto il partito di de Icaza, cioe' di quelli che volevano windowizzare linux

    inutile far notare che appunto la riduzione della biodiversita' e' una manna per cybercriminali e cyberspioni di stato
    non+autenticato