ویکی‌لیکس: سازمان سیا با بدافزار OutlawCountry سیستم‌های لینوکس را هدف قرار داده است

 

براساس اسنادی که ویکی لیکس منتشر کرده، سازمان سیا آمریکا از بدافزاری با نام OutlawCountry برای هدف قرار دادن سیستم های لینوکس استفاده کرده است. باتوجه به آنچه که توسعه دهندگان این بدافزار توضیح داده اند، یک ماژول سطح کرنل است که برای ایجاد یک جدول netfilter مخفی طراحی شده است. 


اپراتور در ادامه می تواند برای ایجاد قوانین جدید بر روی فایروال با دستورات iptables از این جدول مخفی استفاده کند. قوانینی که به تازگی توسط این بدافزار نوشته می‌شوند نسبت به قوانین قبلیِ موجود از اولویت بیشتری برخوردار هستند. این قوانین جدید می‌توانند ترافیک را از ماشین قربانی به سمت دستگاهی که در کنترل مهاجمان است ارسال کنند.


اسناد مربوط به بدافزار OutlawCountry مربوط به سال ۲۰۱۵ میلادی است. همچنین این بدافزار برای اجرای حملات مؤثر به دسترسی‌های شِل و امتیازات سطح بالا و ریشه بر روی ماشین قربانی نیاز دارد. به دلیل اینکه قوانینی که بدافزار تولید می‌کند مخفی هستند، تنها مدیر سیستم که نام جدول را می‌داند، می‌تواند آن را مشاهده کند. همچنین اگر مدیر بتواند ماژول مخرب در سطح کرنل را حذف کند، این جدول مخفی نیز حذف خواهد شد.


در اسناد مربوط به این بدافزار نام توزیع‌های CentOS و RedHat آمده است و RedHat نیز برای کاربرانی که نگران این بدافزار هستند، مشاوره‌نامه‌ای را منتشر کرده است. این شرکت توصیه کرده کاربران بر روی ماشین‌های خود به دنبال فایلی با نام nf_table_6_64.ko باشند و ممکن است جدولی مخفی در iptables نیز با نام dpxvke8h18 وجود داشته باشد. برای بررسی وجود داشتن یا نداشتن ماژول مخرب در سطح کنترل نیز، کاربران می‌توانند از دستور زیر استفاده کنند:


lsmod | grep nf_table
 

پست‌های مشابه

Leave a Comment