WikiLeaks: Wie die CIA mit OutlawCountry Linux hackt
Bereits am 30. Juni 2017 hat WikiLeaks im Zuge der Vault-7-Veröffentlichungen über OutlawCountry berichtet. Das ist ein Tool im Arsenal der CIA, um ganz speziell Systeme mit Linux anzugreifen.
Zunächst einmal finde ich die Namensgebung sehr interessant oder komisch. Für den Angriff auf Linux hat sich die CIA für Land der Banditen oder Gesetzlosen entschieden. Hackt man Access Points, dann sind es Kirschblüten. Die bösen Linuxer werden aber gleich mal mit Gesetzlosen assoziiert.
Wie funktioniert OutlawCountry
OutlawCountry ist eine Malware, die aus einem Kernel-Modul besteht. Das wiederum erstellt eine versteckte Netfilter-Tabelle auf dem angegriffenem Linux-System. Mithilfe dieser Tabelle kann der Angreife Regeln oder Richtlinien erstellen, die bestehende Netfilter- oder iptables-Tegeln überschreiben. Sie bleiben natürlich sogar dem Systemadministrator der Linux-Systems verborgen. Nun lässt sich mithilfe von OutlawCountry sämtlicher nach außen gehender Netzwerk-Traffic an einen Computer umleiten, der unter der Kontrolle der CIA steht. Auf diese Weise lassen sich allerlei Informationen auslesen und auch Pakete modifizieren.
Laut Wikileaks ist im entsprechenden Dokument nicht genau beschrieben, wie die Malware installiert wird. Der Angreifer muss wohl bestehende CIA Exploits und Backdoors oder Hintertüren einsetzen, um das Kernel-Modul auf einem Zielsystem einspielen zu können.
OutlawCountry v1.0 besteht aus einem Kernel-Modul für 64-Bit CentOS oder RHEL (Red Hat Enterprise Linux) 6.x. Außerdem soll das Modul nur mit Standard-Kernels 2.6 funktionieren. Weiterhin unterstützt OutlawCountry v1.0 nur das Hinzufügen von DNAT Rules an die PREROUTING Chain.
Das sind alles relativ gute Nachrichten, denn es scheint nicht einfach ein allgemeiner Exploit zu sein, mit dem sich Hunderte oder Tausende von Maschinen unter Kontrolle bringen lassen. Allerdings wird auch klar, dass Linux-Betriebssysteme sehr wohl auf dem Einkaufszettel der staatlichen Hacker stehen. Allerdings richtet sich OutlawCountry wohl in erster Linie gegen Server oder Version 1.0 ist eine Art PoC (Proof of Concept).
Das Dokument zur CIA Malware datiert vom 4. Juni 2015. Darin zu stöbern ist ganz interessant. So wird in dieser anfänglichen Version zum Beispiel IPv6 nicht unterstützt. Weiterhin gibt es einen Bereich mit Troubleshooting. Darüber hinaus ist zu lesen, dass von Shell-Zugriff und root-Rechten ausgegangen wird. Wie man an diese kommt, ist nicht weiter ausgeführt – hatte ich bereits erwähnt.
Das rät Red Hat
Der Linux-Distributor Red Hat ist sich des Problems bewusst und hat eine Lösung parat. Im Endeffekt sollen Administratoren herausfinden, ob das Modul nf_table_6_64.ko mit der MD5-Prüfsumme 2CB8954A3E683477AA5A084964D4665D geladen ist:
lsmod | grep nf_table
Außerdem sei Red Hat Insights in der Lage, mit der Malware infizierte Systeme zu erkennen. Du kannst das bei Red Hat nachlesen.