Si hay que reconocerle algo a la CIA o la NSA a la hora de crear exploits, es su originalidad con los nombres. Una muestra de ello es el último que ha revelado la gente de Wikileaks, en su particular colección de Vault 7: se llama Outlaw County y está dirigido a sistemas GNU/Linux.

Outlaw County es un módulo para el núcleo de Linux desarrollado por la CIA, que una vez implantado puede redirigir todo el tráfico, tomando preferencia sobre las reglas de los iptables (el firewall incluido por defecto en el kernel) al crear una tabla oculta en el framework netfilter. Algo difícil de detectar por el administrador del sistema, al menos que sepa el nombre de esa nueva tabla.

El implante se realiza a través de una utilidad en linea de comandos llamada insmod, diseñada para insertar módulos en el núcleo de Linux (aunque eso es algo que seguramente modprobe hace mejor).

Entonces sería de cuestión de tirar de iptables y establecer las nuevas reglas de tráfico de datos. Después para comprobar que todo funciona correctamente, se pueden utilizar herramientas como netcat.

Una vez cumplido su objetivo, se puede borrar toda traza en el sistema de Outlaw County utilizando rmmod, un programa que sirve para eliminar modulos previamente cargados en el kernel y que permitiría eliminar esa tabla oculta de netfilter creada con anterioridad.

OutlawCounty en su versión 1.0 es unicamente compatible con CentOS y RHEL (6.x) y con versiones del kernel estándar (Linux 2.6). Maldita dispersión de esfuerzos, así no hay manera de dar soporte…

Ademas el atacante debe tener acceso a la shell del sistema y privilegios de root (casi nada).

Aunque bastante “prometedor” el programa, también tiene sus problemas de persistencia (por ej. si se reinicia el servicio de iptables) y de configuración, estableciéndose las reglas DNAT unicamente mediante la cadena PREROUTING.

En la web de wikileaks encontraréis más información sobre el tema, incluyendo un manual de uso. A la hora de escribir esto, el código de OutlawCounty no estaba disponible para su estudio o descarga. Aunque dada la tendencia que están teniendo los servicios secretos estadounidenses, de perder sus herramientas de hacking, posiblemente no tarde en aparecer.

Sería un detalle de la CIA que lo liberara bajo licencia libre (a fin de cuentas es un módulo del kernel), a ser posible actualizado a la última.

En cualquier caso los outlaw (fuera de la ley) linuxeros le agradecemos la atención 🙂