Seguridad

La CIA también diseñó un exploit para espiar sistemas Linux

ESET descubre una variante del malware KillDisk que cifra sistemas Linux
Escrito por Marcos Merino

Wikileaks ha hecho pública la existencia de una herramienta bautizada como OutlawCountry, que afecta únicamente a sistemas RHEL/Centos 6.x

Wikileaks acaba de hacer público un nuevo lote de documentos filtrados vinculados al programa de vigilancia ‘Vault 7’ de la CIA, y ahora sabemos que la agencia de inteligencia estadounidense desarrolló un exploit que permitía espiar de forma remota equipos que operasen sobre sistemas operativos Linux. Recordemos que, desde marzo, esta organización hacktivista viene publicando con cuentagotas documentación que ya ha revelado la existencia de herramientas de vigilancia de sistemas Windows (el proyecto Grasshoper), de televisiones inteligentes y smartphones, de routers (a través de CherryTree), etc.

Esta nueva herramienta, dotada de un apodo bastante irónico (se refieren a ella como OutlawCountry, ‘País sin Ley’), consistía en un módulo para el kernel de Linux que, una vez implementado, permitía a la agencia redirigir todo el tráfico del equipo, permitiendo ignorar para ello las reglas previamente establecidas en iptables (el cortafuegos preinstalado en el kernel) de forma totalmente transparente de cara al usuario y al administrador del sistema. De hecho, según el manual de uso del software (disponible aquí), “la nueva tabla permite que ciertas normas se creen haciendo uso del comando iptables; estas reglas tienen prioridad sobre las ya existentes, y sólo son visibles para un administrador si éste conoce previamente el nombre de la tabla”. El manual también precisa que “si el operador retira el módulo del núcleo, la nueva tabla también se elimina”.

Pero si estás leyendo esto y eres linuxero, es poco probable que tengas que temer por la integridad de tu sistema. En primer lugar, la versión 1.0 de OutlawCountry (la única de cuya existencia se tiene constancia) es únicamente compatible con sistemas Red Hat Enterprise Linux (y con las distribuciones compatibles a nivel binario como CentOS y Scientific Linux) que ejecuten versiones estándar del kernel 2.6.x; y el atacante debe haber tenido acceso a la shell del sistema con privilegios de root para poder instalarlo.

Vía | HackerNews

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.