OutlawCountry: Wie die CIA Linux-Server ausspäht

WikiLeaks hat heute im Rahmen der Vault7-Serie Informationen veröffentlicht, wie die CIA den traffic von Linux-Servern überwachen kann.

Versteckter netfilter

“OutlawCountry besteht aus einem Kernel-Modul das eine versteckte netfilter-Tabelle auf einem Linux-System erzeugt. Wenn man den Namen dieser Tabelle kennt, ist ein Operator in der Lage beliebige Regeln zu erstellen, die über den regulären netfilter-Regeln arbeiten”. Dies bedeutet, dass ein Angreifer in der Lage ist allen ausgehenden Netzwerk-Traffic eines Linux-Servers auf einen gewünschten Server umzuleiten. Der Admin ist dabei nicht in der Lage diese Regel zu erkennen (da es ein root kit ist), noch ist der in der Lage den umgeleiteten Traffic zu erkennen – dies wäre erst an einer etwaigen Firewall möglich, sofern dieser Linux-Server nicht als Firewall arbeitet.

Kernel-Modul für RHEL/CentOS 6.x

Linux Server werden häufig für interne Server oder selbst erstellte Firewalls verwendet. Durch die große Vielzahl an Distributionen und Anbietern ist es möglicherweise zu komplex für einen Angreifer, eine Software zu schreiben die auf möglichst vielen Systemen läuft bzw installiert (infiziert) werden kann. OutlawCountry funktioniert jedenfalls nur auf RHEL/CentOS 6.x-Systemen, im veröffentlichten Dokument fehlt eine Anleitung wie man das Kernel-Modul genau installieren kann bzw soll.

Zudem kann die Software lediglich eine weitere DNAT-Regel zur PREROUTING-Chain erstellen. Damit ist es nur möglich den ausgehenden Datenverkehr zu beeinflussen – nicht den eingehenden.