OutlawCountry: CIA greift Linux-Nutzer mit Malware an

Es handelt sich um ein Kernel-Modul für CentOS und Red Hat Enterprise Linux. Betroffen sind mindestens die Versionen 5.x und 6.x. Das Kernel-Modul leitet jeglichen Netzwerkverkehr auf Server der CIA um.

Der US-Geheimdienst Central Intelligence Agency verfügt offenbar auch über eine Malware für Linux-Systeme. Das geht aus Geheimunterlagen hervor, die Wikileaks veröffentlicht hat. Die OutlawCountry genannte Schadsoftware ist demnach in der Lage, jeglichen Netzwerktraffic eines Linux-Rechners auf Server der CIA umzuleiten.

CIA (Bild: Central Intelligence Agency)Den Unterlagen zufolge ist OutlawCountry ein Linux-Kernel-Modul, das Ausnahmeregeln für die Firewall festlegen kann. Um einer Erkennung zu entgehen, löscht sich die Malware, nach dem sie ihre Aufgabe erledigt hat. Die CIA kann trotzdem anschließend jeglichen Datenverkehr eines infizierten Systems überwachen.

Laut Wikileaks legt die Malware eine versteckte Netzfilter-Tabelle an, die vorhandene Filter oder Adress-Tabellen umgehen und weder von Nutzern noch von Systemadministratoren erkannt werden kann. Eine Bedienungsanleitung für OutlawCountry legt zudem die Vermutung nahe, dass das Spionage-Tool mindestens seit Juni 2015 im Einsatz ist.

Kernel-Module scheinen allerdings nur für bestimmte Linux-Versionen vorzuliegen. Namentlich werden in den Unterlagen CentOS/RHEL 5.x und 6.x genannt. An anderer Stelle heißt es: „Das OutlawCountry-Tool besteht aus einem Kernel-Modul für Linux 2.6.“ Diese Kernel-Version kam auch schon bei CentOS/RHEL 4.x zum Einsatz. CentOS/RHEL 7.x basiert indes auf dem Linux-Kernel 3.10.x. Zudem scheint es Module für die 32- und 64-Bit-Versionen von CentOS und Red Hat Enterprise Linux zu geben.

Wie das schädliche Kernel-Modul auf ein Linux-Gerät gelangt, lassen die Unterlagen jedoch offen. „Ein Mitarbeiter wird auf verfügbare CIA-Exploits und –Hintertüren angewiesen ein, um das Kernel-Modul in das Betriebssystem des Ziels einzuschleusen“, schreibt Wikileaks.

In der Bedienungsanleitung macht die CIA ihre Mitarbeiter auch auf Einschränkungen der Linux-Malware aufmerksam. Beispielsweise soll OutlawCountry nur funktionieren, wenn der Linux-Kernel nicht verändert wurde. Zudem wird nur das Internet Protocol Version 4 (IPv4) und nicht die neue Version IPv6 unterstützt.

Schon seit März macht Wikileaks meist im Wochenrhythmus neue Geheimdokumente der CIA öffentlich. Dadurch wurde bekannt, dass die CIA unter anderem Zero-Day-Lücken in Windows und Cisco-Switches für ihre Zwecke missbraucht haben soll. Die CIA soll aber auch seit Jahren WLAN-Router ausspähen und über Tools zur Manipulation von Apple-Mac-Firmware verfügen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Themenseiten: Central Intelligence Agency, Linux, Malware, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu OutlawCountry: CIA greift Linux-Nutzer mit Malware an

Kommentar hinzufügen
  • Am 3. Juli 2017 um 14:18 von Klaus

    Interessant: „CentOS/RHEL 5.x und 6.x“ also geht es da weniger um Privatanwender, und mehr um Unternehmen. Denn meinen Erfahrungen nach sind CentOS und RHEL überwiegend im Unternehmensumfeld in Verwendung.
    Man kann also durchaus den Verdacht erheben, dass es um Unternehmensspionage gehen könnte, oder eben darum an in Unternehmen gesammelte Daten zu gelangen.

  • Am 4. Juli 2017 um 6:55 von Olaf

    Nicht vergessen: Es geht um die Nationale Sicherheit der USA …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *