Wikileaks продолжает публикацию архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, которые были переданы в распоряжение ресурса неизвестным информатором весной 2017 года. Публикации выходят под кодовым названием Vault 7 и рассказывают о самых разных инструментах и техниках.
На этот раз документы посвящены вредоносу под названием OutlawCountry. Обнародованная инструкция к малвари датирована июнем 2015 года и описывает OutlawCountry как модуль ядра для Linux 2.6, который помогает специалистам ЦРУ перенаправлять исходящий трафик с зараженного устройства на сторону.
Хотя в бумагах не описан процесс установки малвари, известно, что для этого необходимо иметь shell-доступ и root-привилегии. То есть предполагается, что перед установкой OutlawCountry придется скомпрометировать целевое устройство посредством другой малвари или доверить установку полевому оперативнику.
В работе OutlawCountry полагается на такие простейшие инструменты, как netfilter и iptables. Так, инструкция гласит, что «после загрузки модуль используется для создания таблицы netfilter со сложным именем, которая позволяет создать ряд правил с помощью команды iptables. Эти правила могут иметь приоритет перед уж существующими, и видны только администратору, если имя таблицы известно. Когда оператор удаляет модуль ядра, таблица тоже удаляется».
Также в инструкции сказано, что OutlawCountry v1.0 содержит модуль ядра для 64-разрадных версий CentOS/RHEL 6.x и поддерживает добавление скрытых правил DNAT в PREROUTING.
OutlawCountry подходит как для компрометации серверов, так и домашних систем. Согласно опубликованным бумагам, хеш MD5 для одного из модулей ядра (nf_table_6_64.ko): 2CB8954A3E683477AA5A084964D4665D. Также известно, что имя скрытой таблицы netfilter по умолчанию: dpxvke8h18.