CIA-Malware OutlawCountry leitet Netzwerk-Traffic von Linux-Nutzern um

Peter Marwan,
CIA (Grafik: CIA)

Von Wikileaks veröffentlichten Geheimunterlagen zufolge ist OutlawCountry ein Linux-Kernel-Modul für CentOS und Red Hat Enterprise Linux. Es kann Ausnahmeregeln für die Firewall festlegen und löscht sich, nachdem sie das getan hat selbst.

Die Central Intelligence Agency (CIA) kann mit einer von ihr entwickelten Malware offenbar auch Linux-Rechner ausspähen. Das lässt sich jetzt von Wikileaks veröffentlichten Unterlagen entnehmen. Demnach kann die OutlawCountry genannte Software den gesamten Netzwerk-Traffic eines Linux-Rechners auf Server des US-Geheimdienstes umleiten.

Wikileaks (Grafik: Wikileaks)

Bei OutlawCountry handelt sich um ein Kernel-Modul für CentOS und Red Hat Enterprise Linux. Es lässt sich mindestens mit den Versionen 5.x und 6.x verwenden. An anderer Stelle heißt es in den Unterlagen: “Das OutlawCountry-Tool besteht aus einem Kernel-Modul für Linux 2.6.” Diese Version wurde bereits bei CentOS/RHEL 4.x verwendet. CentOS/RHEL 7.x basiert dagegen auf dem Linux-Kernel 3.10.x.

Einer Bedienungsanleitung für OutlawCountry zufolge wird das Spionage-Tool bereits mindestens seit Juni 2015 verwendet. Ihr zufolge soll OutlawCountry nur funktionieren, wenn der Linux-Kernel nicht verändert wurde. Außerdem wird nur IPv4 unterstützt.

Den von Wikileaks veröffentlichen Unterlagen zufolge kann OutlawCountry Ausnahmeregeln für die Firewall definieren. Sie legt dazu eine versteckte Netzfilter-Tabelle an. Mit der können vorhandene Filter oder Adress-Tabellen umgangen werden. Außerdem lassen sie sich und weder vom Nutzer noch den Systemadministratoren erkennen.

CIA (Grafik: CIA)

Um nicht bemerkt zu werden, löscht sich die Software zudem selbst, sobald sie ihre Aufgabe erledigt hat. Durch die Umleitung des Datenverkehrs kann die CIA dennoch jeglichen Datenverkehr eines infizierten Systems überwachen. Wie die CIA OutlawContry auf Rechnern einschleusen kann, geht aus den veröffentlichten Unterlagen allerdings nicht hervor.

Wikileaks veröffentlicht seit März nahezu jede Woche neue Geheimdokumente der CIA. Dadurch wurde bekannt, dass die CIA unter anderem Zero-Day-Lücken in Windows und Sicherheitslücken in Cisco-Switches für ihre Zwecke missbrauchen oder mit der Malware BrutalKangaroo auch nicht mit dem Netz verbunden Rechner infizieren konnte. Die CIA späht den Unterlagen zufolge aber auch seit Jahren WLAN-Router aus und über Tools zur Manipulation von Apple-Mac-Firmware verfügen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.