Passer au contenu

OutlawCountry, le logiciel de la CIA qui espionne les serveurs Linux

Ce logiciel malveillant s’installe sous la forme d’un module d’extension du noyau. Il permet d’intercepter le trafic en modifiant le paramétrage de routage d’une machine sous CentOS ou Red Hat Enterprise Linux.

Wikileaks vient à nouveau de révéler un outil de piratage de la CIA dans le cadre de la série de révélations « Vault 7 ». Cette fois-ci, il s’agit d’un logiciel baptisé « OutlawCountry » qui permet de siphonner le trafic d’un serveur sous Linux. Il se présente sous la forme d’un module d’extension du kernel. Son but est de modifier ni vu ni connu le paramétrage de la table de routage pour pouvoir transférer le trafic sortant vers des machines contrôlées par le CIA. Celles-ci se chargeront ensuite de l’exfiltration des données.    

Wikileaks – Le trafic sortant de la cible (TARG_1) est transféré vers des machines contrôlées par la CIA, par exemple EAST_4 au lieu de EAST_3

Le document révélé par Wikileaks date de juin 2015 et n’explique pas en détail comment OutlawCountry est installé et rendu persistant. Il précise néanmoins qu’il faut avoir « un accès shell » et « des privilèges root » comme prérequis à son utilisation. OutlawCountry doit donc certainement s’utiliser en conjonction avec des outils de type exploit (pour pénétrer la machine) et porte dérobée (pour disposer d’un accès permanent). Par ailleurs, ce logiciel ne fonctionne que sur des noyaux standards des systèmes d’exploitation CentOS ou Red Hat Enterprise Linux 6.x, en version 64 bits.

La semaine dernière, Wikileaks avait également révélé Elsa, un logiciel malveillant qui permet de géolocaliser les ordinateurs ciblés en fonction des réseaux Wi-Fi à proximité. La CIA s’appuie notamment sur des bases de données de Hotspots Wi-Fi constitués par des géants informatiques comme Microsoft ou Google.  A ce jour, Wikileaks a déjà révélé 14 outils de piratage de l’agence américaine.   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN