Wikileaks: بدافزار CIA که سیستم‌های Linux را هک و جاسوسی کند

CIA Malware for Linux

بر اساس انتشار گزارش WikiLeaks در روز جمعه 6 مرداد، بانام Vault 7 leak، سازمان CIA Wikileaks: بدافزار CIA که سیستم‌های Linux را هک و جاسوسی کند:  پروژه‌ای را شروع کرد که این سازمان را قادر می‌ساخت که سیستم‌ها و کامپیوترهایی را که دارای Linux هستند را هک و از آن‌ها جاسوسی کند. این پروژه OutlawCountry نام‌گذاری شد و به هکرهای این سازمان اجازه می‌دهد که همه ترافیک شبکه outbound سیستم مورد هدف را تحت کنترل سیستم‌های کامپیوتر سازمان سیا درآورده و داده وارد و استخراج (infiltration/exfiltration) کند.

ابزار هک Linux بانام OutlawCountry دارای یک ماژول kernel است که از طریق shell access به سیستم مورد هدف load می‌شود و یک جدول Netfilter مخفی با یک اسم نامشخص در کاربر لینوکس ایجاد می‌کند. این جدول می‌تواند قوانین خاصی را بر اساس دستورات iptable ها بسازد. این قوانین بر قوانین موجود اولویت‌دارند و فقط، اگر او اسم جدول را بداند، برای ادمین قابل‌مشاهده هستند. زمانی که اپراتور ماژول kernel را حذف کند جدول جدید نیز حذف می‌شود.
بااینکه روش نصب و persistence ابزار OutlawCountry دقیقاً مشخص نیست به نظر می‌رسد که هکرهای سازمان به از طریق آسیب‌پذیری‌ها و درب پشتی‌های موجود ماژول kernel را به داخل سیستم‌های لینوکس مورد هدف تزریق می‌کنند. این ابزار نیز محدودیت‌هایی دارد و فقط در کرنل سیستم‌های Linux عمل می‌کند. WikiLeaks می‌گوید که OutlawCountry v1.0 مشخصات زیر را دارد.
• یک ماژول kernel برای 64-bit CentOS/RHEL 6.x
• این ماژول فقط با کرنل‌های پیش‌فرض کار می‌کند
• فقط از اضافه کردن مخفیانه DNAT rules به PREROUTING chain پشتیبانی می‌کند.
در هفته گذشته نیز WikiLeaks اطلاعات یک بدافزار CIA دیگر را بانام ELSA انتشار داد که در سیستم‌عامل Microsoft Windows محل جغرافیایی (geo-location) کامپیوترها و لپ‌تاپ‌های مورد هدف ردیابی می‌کند. این بدافزار نیز شناسه hotspot های عمومی اطراف را دریافت می‌کند و با پایگاه داده‌های جهانی “public Wi-Fi hotspots’ locations” آن‌ها را هماهنگ می‌کند.
از ماه مارس تابه‌حال WikiLeaks 14 دسته از بدافزارها Vault 7 را شامل موارد به شرح زیر فاش نموده است.

• Brutal Kangaroo – a CIA tool suite for Microsoft Windows that targets closed networks or air-gapped computers within an enterprise or organization without requiring any direct access.
• Cherry Blossom – a CIA’s framework, generally a remotely controllable firmware-based implant, used for monitoring the Internet activity of the target systems by exploiting flaws in WiFi devices.
• Pandemic – a CIA’s project that allowed the spying agency to turn Windows file servers into covert attack machines that can silently infect other computers of interest inside a targeted network.
• Athena – an agency’s spyware framework that has been designed to take full control over the infected Windows machines remotely, and works with every version of Microsoft’s Windows operating systems, from Windows XP to Windows 10.
• AfterMidnight and Assassin – Two apparent CIA’s malware frameworks for the Microsoft Windows platform that is meant to monitor and report back actions on the infected remote host computer and execute malicious code.
• Archimedes – A man-in-the-middle attack tool allegedly built by the spying agency to target computers inside a Local Area Network (LAN).
• Scribbles – A piece of software reportedly designed to embed ‘web beacons’ into confidential documents, allowing the CIA hackers to track insiders and whistleblowers.
• Grasshopper – A framework that allowed the CIA to easily create custom malware for breaking into Microsoft’s Windows and bypassing antivirus protection.
• Marble – The source code of a secret anti-forensic framework, primarily an obfuscator or a packer used by the spying agency to hide the actual source of its malware.
• Dark Matter – Hacking exploits the agency designed and used to target iPhones and Mac machines.
• Weeping Angel – Spying tool used by the CIA to infiltrate smart TV’s, transforming them into covert microphones in target’s pocket.
• Year Zero – CIA hacking exploits for popular hardware and software.

نظر به رایگان بودن و استقبال از سیستمهای متن باز و همچنین لینوکسی بودن اکثر سیستمهای متن باز در حوزهء امنیت، محیط لینوکس مورد توجه هکرها بوده است و از اینرو مجموعهء پارس فناوران خوارزم از ابتدا با انتخاب محیط یونیکس از این محیطها فاصله گرفته است.Wikileaks: بدافزار CIA که سیستم‌های Linux را هک و جاسوسی کند