OutlawCountry: un exploit de la CIA para sistemas Linux

Si hay que reconocerle algo a la CIA o la NSA a la hora de crear exploits, es su originalidad con los nombres. Una muestra de ello es el último que ha revelado la gente de Wikileaks, en su particular colección de Vault 7: se llama Outlaw Country y está dirigido a sistemas GNU/Linux.

Outlaw Country es un módulo para el núcleo de Linux desarrollado por la CIA, que una vez implantado puede redirigir todo el tráfico, tomando preferencia sobre las reglas de los iptables (el firewall incluido por defecto en el kernel) al crear una tabla oculta en el framework netfilter. Algo difícil de detectar por el administrador del sistema, al menos que sepa el nombre de esa nueva tabla.

El implante se realiza a través de una utilidad en linea de comandos llamada insmod, diseñada para insertar módulos en el núcleo de Linux (aunque eso es algo que seguramente modprobe hace mejor).

Entonces sería de cuestión de tirar de iptables y establecer las nuevas reglas de tráfico de datos. Después para comprobar que todo funciona correctamente, se pueden utilizar herramientas como netcat.

Una vez cumplido su objetivo, se puede borrar toda traza en el sistema de Outlaw Country utilizando rmmod, un programa que sirve para eliminar modulos previamente cargados en el kernel y que permitiría eliminar esa tabla oculta de netfilter creada con anterioridad.

OutlawCountry en su versión 1.0 es unicamente compatible con CentOS y RHEL (6.x) y con versiones del kernel estándar (Linux 2.6). Maldita dispersión de esfuerzos, así no hay manera de dar soporte…

Ademas el atacante debe tener acceso a la shell del sistema y privilegios de root (casi nada).

Aunque bastante “prometedor” el programa, también tiene sus problemas de persistencia (por ej. si se reinicia el servicio de iptables) y de configuración, estableciéndose las reglas DNAT unicamente mediante la cadena PREROUTING.

En la web de wikileaks encontraréis más información sobre el tema, incluyendo un manual de uso. A la hora de escribir esto, el código de OutlawCountry no estaba disponible para su estudio o descarga. Aunque dada la tendencia que están teniendo los servicios secretos estadounidenses, de perder sus herramientas de hacking, posiblemente no tarde en aparecer.

Sería un detalle de la CIA que lo liberara bajo licencia libre (a fin de cuentas es un módulo del kernel), a ser posible actualizado a la última.

En cualquier caso los outlaw (fuera de la ley) linuxeros le agradecemos la atención 🙂

16 thoughts on “OutlawCountry: un exploit de la CIA para sistemas Linux”

  1. Miguel says:

    Excelente análisis. Leei la nota con tintes más amarillentas y tú lo esclarecer todo.

    1. tannhausser says:

      No leí ningún noticia antes de hacer el post (aparte de la fuente original de wikileaks), pero me imagino algo tipo: “el virus de la CIA que te sorprenderá” o “vamos a morir todos por usar Linux”.

      Muchas veces cuando se trata este asunto, se olvida el asunto del vector de infección. En este caso hay que tener permisos de root de “alguna manera”, y si tu atacante tiene eso…bueno, ya todo da igual.

      1. Neo says:

        Yo leí la noticia ayer aquí pero no me quedó claro si era para preocuparse o no.

        https://www.adslzone.net/2017/06/29/outlaw-country-wikileaks-desvela-malware-de-la-cia-para-linux/

      2. victorhck says:

        🙂 🙂
        Si ya tiene permisos de “root”, ya no necesitas scripts como este! 🙂
        Pero sólo para esas versiones de kernel y sólo en esas distros! Bueno, eso reduce mucho el abanico!
        La verdad es que entendí sólo la mitad del artículo… pero es un placer leerte (as always! )
        ‘ve phun!

        1. tannhausser says:

          Muchas gracias colega. Un placer tenerte por aquí 🙂

  2. Raul says:

    que tendra que decir aqui Linus Torvalds? cuando dice “el circo de la seguridad”

    lo que esta claro es que la seguridad y la privacidad en las comunicaciones no es ningun circo.
    es esencial para la vida en libertad

    no se si el kernel de Torvalds se toma o no se toma en serio el problema del espionaje
    pero lo que ya se empieza a ver; es que no es tan limpio de contaminacion NSA ni tan seguro como se decia

    1. sementesdotempoblog says:

      Hola.

      En realidad, tiene razón: un error es un error. De hecho, los exploites suelen llegar por errores comunes.

      Si lees el artículo, verás que en realidad no es un fallo de seguridad de Linux. Simplemente es una herramienta que permitiría, en un sistema ya hackeado, monitorear las conexiones.

      Y, ¡sorpresa! no tiene nada que ver con el núcleo, sino con el funcionamento de netfilter.

      Salud!

  3. Aron Wolf says:

    cuanto me rie con ese articulo. Gracias por alegrarme el dia 🙂

    1. tannhausser says:

      De nada amigo!

  4. Raul says:

    yo no se, no se,
    pero la documentacion de Wikileaks habla de exploits o puerta trasera en el kernel.
    ademas dice que solo afecta al kernel pordefecto (que curioso)
    la verdad es que no se que se refiere Linus Torvalds cuando dijo eso de (el circo de la seguridad)
    a que se referia? pero la seguridad en las comunicaciones es muy importante para una sociedad libre.
    El no parece muy preocupado por la NSA
    http://www.muylinux.com/2013/11/18/confirmado-nsa-intento-linux
    y la insistencia de la NSA para tener acceso a GNU/LINUX es constante
    sera que GNU/LINUX es tan puro, limpio, y seguro, de puertas traseras como creemos ?????
    la cuestion es que el propio kernel lleva cantidad de drivers privativos.
    la verdad no se.

    1. tannhausser says:

      Si te digo la verdad, el tema de las vulnerabilidades de software en GNU/Linux no me preocupa demasiado. Y creo que llegado el caso se podría endurecer la seguridad del kernel estándar si fuera necesario.

      Otra cosa es el tema del hardware y el firmware privativo que incluye. Ahí –ahora mismo– estamos totalmente vendidos. A menos que optes por cosas como libreboot/coreboot todavía muy minoritarias y que técnicamente de cara al usuario también son complicadas.

      1. Raul says:

        correcto el hardware y su firmware es el eslabon mas debil de la cadena.
        y la verdad es que como muy bien dices es muy dificil de resolver.
        la infeccion del firmware por parte de la NSA es ya un tema de locura,

        https://www.xataka.com/privacidad/la-nsa-tambien-se-cuela-en-los-discos-duros-gracias-al-misterioso-grupo-hacker-equation-group

        a este nivel de infeccion llegan esa banda de la NSA y demas gobiernos como el de mexico y demas.

        pero bueno si mas no la cuestion es generar debate,
        que eso genera conciencia de como estan las cosas, y posibles maneras de sortear las dificultades

        y en eso esta pagina lo hace bien

        saludos

        1. sementesdotempoblog says:

          Hola.

          La cuestión para algunos es generar miedo. Como la reacción con el rasomware de Windows fue la risa y la recomendación de no usar esa cosa, pues publicaron algo en plan de “para Linux también, no estamos seguros por culpa de la NSA etc”.

          Y sin embargo, bien poco tenían si lo que se filtra es un sistema de monitorizado que exige privilegios de administrador.

          Es cierto que Linux tiene fallos que pueden ser explotados; e incluso a veces aparecen algunos que podrían ser escalables para conseguir permisos de administrador. Es normal. Pero no es el desastre que es Windows. Ni siquiera Mac OS lo sería.

          Salud!!

  5. Pablo Moreira says:

    Está muy bien el post, como leí por ahí arriba si sos root y tenés un shell ya está todo perdido. Saludos

  6. Anónimo says:

    Hace unos años estuve en Berlín y fuimos a una visita con guía (por cierto ella era argentina). Cuando tenía oportunidad nos daba la brasa con la película «La vida de los otros» y qué malos eran los comunistas espiando a la gente.
    Después de aquel viaje se destapó lo de la NSA. En fin Serafín.
    Saúdos,

  7. Miguel Vatatzes says:

    gracias por la informacion, para variar querian hacer creer que era peor y con esto nos queda mas claro el alcance del desastre

Deja un comentario