I documenti segreti di Vault 7 continuano a riservare sorprese, con WikiLeaks che è questa volta impegnata a svelare l’esistenza di un tool per lo spionaggio su Linux chiamato OutlawCountry . La CIA sarebbe dunque in grado di compromettere senza problemi anche le macchine basate su sistemi FOSS, sebbene le controindicazioni non manchino e le informazioni sulle procedure di infezione risultino ancora misteriose.
OutlawCountry “v.10” è in sostanza un modulo progettato per agire nello spazio del kernel Linux , spiega il manuale condiviso da WikiLeaks risalente al 4 giugno 2015, e dà agli agenti operativi della CIA la possibilità di intercettare e dirottare tutto il traffico telematico in uscita dal sistema infetto verso una destinazione terza.
Il modulo kernel di OutlawCountry fa uso – anzi abuso – dei tool per il filtraggio dei pacchetti di rete integrati su Linux, strumenti come netfilter e iptables a cui viene aggiunta una nuova tabella dal nome “oscuro” con regole di filtraggio che hanno la precedenza sulle altre. Se il modulo viene rimosso da quello che il manuale chiama “Operatore”, anche la tabella con le regole di filtraggio finisce nel cestino.
La capacità di controllare tutto il traffico di un sistema garantisce potenzialità di notevoli per lo spionaggio, e i “danni” praticabili con OutlawCountry sono ovviamente maggiori se il PC infetto risulta essere un server piuttosto che una comune macchina desktop.
Quello che il nuovo documento non dice è il modo in cui gli agenti CIA possono installare il modulo per lo spionaggio nel kernel di Linux, segno del fatto che occorrono altri strumenti – evidentemente ancora inediti – per effettuare con successo l’infezione.
La stessa installazione di OutlawCountry presenta non poche difficoltà , visto che sono necessari sia l’accesso alla shell di sistema che i privilegi di accesso “root” sul PC bersaglio. Il modulo, infine, funziona solo con le distro CentOS/RHEL 6.x a 64-bit con i kernel di default.
Alfonso Maruccia
Ti potrebbe interessare
4 lug 2017