جاسوسی سیا از سیستم عامل لینوکس ( OutlawCountry)

[مصطفی عفافی]

اسناد جدید فاش شده توسط ویکی‌لیکس نشان از این دارند که سازمان اطلاعات آمریکا با ابزار OutlawCountry اقدام به سرقت اطلاعات رایانه‌های لینوکسی می‌کند.
بر اساس اسناد جدید فاش شده توسط ویکی‌لیکس، سازمان اطلاعات آمریکا یا همان سیا با استفاده از ابزاری که OutlawCountry نام دارد، اقدام به سرقت اطلاعات از رایانه‌ها و سرورهای مبتنی بر لینوکس می‌کند. به‌جرئت می‌توان بزرگ‌ترین ادعای کاربران و طرفداران سیستم عامل لینوکس را امنیت بالای این سیستم عامل به‌موجب آزاد بودن و متن باز بودن آن دانست؛ حال آنکه اسناد جدید ویکی‌لیکس گویای این موضوع هستند که این سیستم عامل و پلتفرم نیز آن‌چنان که باید در برابر نهادی نظیر سیا مقاوم نیست.

بر اساس اطلاعات ارائه‌شده توسط ویکی‌لیکس، ابزار یادشده به‌عنوان یکی از ماژول‌های هسته‌ی لینوکس (nf_table_6_64.ko) پس از لود شدن آغاز به کار می‌کند و به‌صورت هم‌زمان اقدام به وارد کردن یک رکورد جدید در جدول iptable تنظیمات فایروال می‌کند. پس از آنکه رکورد جدید در جدول وارد شد، دیگر نیازی به ماژول ابتدایی کرنل نیست و این کرنل حذف می‌شود.

از این مرحله به بعد، هکر می‌تواند با در اختیار داشتن کنترل جدول آی‌پی در تنظیمات فایروال، ترافیک شبکه‌ی کاربر را به سمت سرورهای سیا که برای داده‌کاوی توسعه یافته‌اند، هدایت کند. با استفاده از این روش، آژانس امنیت آمریکا قادر است به‌راحتی در مورد ارتباطات و اطلاعات کاربران به جاسوسی بپردازد. هرچند نفوذ و سرقت اطلاعات یک رایانه‌ی خانگی مبتنی بر لینوکس به‌تنهایی خطرناک است؛ اما باید این نکته را نیز در نظر داشت که بخش بزرگی از سرور‌های مورد استفاده در اینترنت مبتنی بر لینوکس هستند و سیا با این روش قادر است اطلاعات میلیون کاربر را که از این سرورها استفاده می‌کنند، مورد سرقت قرار دهد.

البته نکته‌ای که هنوز مشخص نشده، روش دسترسی و آلوده کردن رایانه یا سرورهای میزبان به ابزار OutlawCountry است؛ به نظر می‌رسد سیا برای لود کردن این ابزار در مرحله‌ی اول از بدافزار دیگری استفاده می‌کند.

ابزار OutlawCountry تنها یکی از ابزارها و بدافزارهای جاسوسی است که ویکی‌لیکس در قالب Vault7 اقدام به انتشار آن‌ها می‌کند.
منبع :http://www.zoomit.ir/2017/7/3/188576/wikileaks-cia-linux-outlawcountry-network-traffic-re-routing-tool/

سوال: نظرتون رو لطفا بیان کنید ، آیا این خبر میتونه صحت داشته باشه؟

[علی رزم دیده]

سوال: نظرتون رو لطفا بیان کنید ، آیا این خبر میتونه صحت داشته باشه؟

بله چرا که نه !
ویکی لیکس کاملاً معتبره و حرف الکی نمی زنه ...
هیچ فرد حرفه ای , چه در این انجمن چه هیچ جای دیگه نمیاد بگه امنیت گنو یا لینوکس 100 درصده فقط چیزی که گفته می شه اینه "در حال حاضر گنو/لینوکس و بی اس دی امن ترین سیستم عامل های جهان هستند"
که کلمه ی امن ترین به معنای امنیت مطلق نبوده و نیست ...
بحث سره اینه که نسبت به ویندوز و یا مک امن تره فقط همین ! چون مثلاً ویروس نوشتن برای ویندوز نسبت به گنو خیلی خیلی ساده تره (برای مثال اکثر نسل های ویندوز در مقابل newfolder.exe و یا shortcut.exe آسیب پذیر هستند)
در واقع بحث سر اینجاس که یه جوجه اسکریپتی نتونه سیستمت رو هک کنه و گرنه اگه طرف مقابلت یه هکر قدرتمند و درست حسابی باشه عینه هکرهای NSA و CIA باشه هک گنو و بی اس دی هم ممکنه ...

در مورد این ابزار هم باید بگم فعلاً خفایای زیادی داره و نمی شه در موردش اظهار نظر قطعی کرد هنوز مشخص نیست چطوری وارد می شه و چطوری عمل می کنه و یا آیا apparmor و یا selinux در مقابلش می تونن کاری کنن و یا بایپس می شن و اینکه کدوم یک از ورژن های لینوکس (مثلاً 4.10) در مقابلش آسیب پذیر هستند (شایدم همشون باشه)

پ.ن:ممکنه یه عده بیان جو بدن که بیا اینم از امنیتتون ! و مسائلی از این دست رو مطرح کنن فقط اون یه عده باید توجه کنن با یه بچه طرف نیستن بلکه با یه هکر تمام عیار طرفن که تونسته توی CIA مشغول به کار بشه در پایان هم دیدن لیست ویروس ها و ابزارهای ویندوزی که تو همون سند منتشر شدن خالی از لطف نیست :
Elsa , Brutal Kangaroo , Pandemic , Athena , AfterMidnight , Scribbles , Grasshopper , ...

[علی رزم دیده]

بعله اینم از جاسوسی در لینوکس یا همان گنولینوکس.

جاسوسی که که خودش بیاد باگ پیدا کنه و از طریق همون باگ جاسوسی کنه مشکلی نداره
مشکل از اونجا شروع می شه که خودمون باگ بدیم به طرف مقابل (که اسمش می شه بک دور)

در ضمن اگه با انصاف به قضیه نیگاه کنیم کی سرورهای گنو/لینوکسی حمله ی عظیمی عینه WannaCry و یا Petya رو تجربه کرده ؟

اسم ویروس ها و ابزارهای ویندوزی که تو همون سند منتشر شدن رو تو کامنت بالام نوشتم ...
من به عنوان کسی که مقدار زیادی از این سند Vault 7 رو خوندم دارم می گم که تعداد ویروس ها و ابزارهای ویندوزی بسیار بیشتر از لینوکسیا بودن

برای مثال همین ELSA که نوشتم و توسط سازمان CIA استفاده می شه , می تونه محل دقیق کاربران ویندوزی رو پیدا کنه اونم در کسری از ثانیه !

پ.ن:قبلاً هم گفتم باگ داشتن سیستم عامل ها چیز کاملاً قابل قبولیه و من با این قضیه مشکلی ندارم (اتفاقاً یه ضرب المثل امنیتی هست که میگه هر چقدر باگ بیشتری پیدا بشه سیستم امن تر می شه چون باگ کشف شده مقدار zero day ها رو کاهش می ده) من مشکلم با سرعت فیکس این باگ هاست نه تعدادشون ...
مثلاً اکسپلویت EternalBlue که ماه April توسط Shadow Brokers افشا شد خب اگه همون موقع مایکروسافت پچ لازم رو می داد دیگه کره ی شمالی نمی تونست که یک ماه بعد WannaCry رو به جون دنیا بندازه ; می تونست ؟

[سلمان م.]

متاسفانه سایت‌های فارسی معمولن جفنگ می‌نویسن. من که اطمینانی به اینجور سایت‌ها ندارم و اون‌ها رو سایت‌های معتبری نمی‌دونم.

این خبر در اصلش درست هست، اینم لینکش:
https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/

و طبق چیزی که در این صفحه نوشته شده:
https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/page-5/#pagination

کد: [انتخاب]

The OutlawCountry tool consists of a kernel module for Linux 2.6.  The Operator
loads the module via shell access to the target.  When loaded, the module creates a new
netfilter table with an obscure name
یعنی
۱. سیستم عامل هدف باید کرنل نسخه‌ی ۲.۶ داشته باشه:

توضیح: یعنی CentOS یا RHEL نسخه ۶ باید داشته باشه. این نسخه از کرنل خیلی قدیمی هست و توی مخازن اوبونتو یا دبیان نیست.

۲. نفوذگر باید از قبل دسترسی شل به سیستم‌عامل داشته باشه.

[فاروق]

متاسفانه سایت‌های فارسی معمولن جفنگ می‌نویسن. من که اطمینانی به اینجور سایت‌ها ندارم و اون‌ها رو سایت‌های معتبری نمی‌دونم.

کاملا درسته

[rahimi12]

لطفا اینقدر دم از wannacry نزنین چون لینوکس هم باگ های خفنی داشته و بدافزارهای معادلی داشته.
ممکنه بگید امنیتش باز بیشتره. بایدگفت که امنیت رو در درصد بیشتری ادمین سیستم تعیین میکنه. از زمان wannacry تا همین الان بوده سازمانی که با وجود چندین سیستم ویندوزیش حتی یکی هم آلوده نشده.
بحث رو ‌ول ندیم. اینم از بکدوری که خبرش رو دادن توی لینوکس که وجود داره. تمام

[علی رزم دیده]

متاسفانه سایت‌های فارسی معمولن جفنگ می‌نویسن. من که اطمینانی به اینجور سایت‌ها ندارم و اون‌ها رو سایت‌های معتبری نمی‌دونم.

این خبر در اصلش درست هست، اینم لینکش:
https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/

و طبق چیزی که در این صفحه نوشته شده:
https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/page-5/#pagination

کد: [انتخاب]

The OutlawCountry tool consists of a kernel module for Linux 2.6.  The Operator
loads the module via shell access to the target.  When loaded, the module creates a new
netfilter table with an obscure name
یعنی
۱. سیستم عامل هدف باید کرنل نسخه‌ی ۲.۶ داشته باشه:

توضیح: یعنی CentOS یا RHEL نسخه ۶ باید داشته باشه. این نسخه از کرنل خیلی قدیمی هست و توی مخازن اوبونتو یا دبیان نیست.

۲. نفوذگر باید از قبل دسترسی شل به سیستم‌عامل داشته باشه.

ممنون سلمان جان به اطلاعات خیلی خوبی اشاره کردین که من قبلاً اینا رو ندیده بودم ...

فقط یه مطلب این ورژن کرنل و ... مربوط به ورژن 1.0 این ابزاره و مربوط به خیلی ساله پیشه مطمئناً تو این سال ها CIA بیکار ننشسته و ورژن های جدیدترش رو توسعه داده

[علی رزم دیده]

بحث رو ‌ول ندیم. اینم از بکدوری که خبرش رو دادن توی لینوکس که وجود داره. تمام

می دونین معنی کلمه ی بک دور چیه ؟ (کاملاً جدی پرسیدم)
لینوکس رو مگه فرد خاصی داره توسعه می ده که بیاد توش بک دور بذاره ؟ لینوکس رو خود ملت دارن توسعه می دن و به توسعه ی همدیگه هم نظارت می کنن ...

بایدگفت که امنیت رو در درصد بیشتری ادمین سیستم تعیین میکنه. از زمان wannacry تا همین الان بوده سازمانی که با وجود چندین سیستم ویندوزیش حتی یکی هم آلوده نشده.

بله کسانی که SMB شون رو بستند ! بهتره بگم صورت مسئله رو پاک کردن ! تا زمانی که مایکروسافت دست به کیبورد بشه و پچ لازم رو ارائه بده (نزدیک 1 ماه و نیم بعد)

لطفا اینقدر دم از wannacry نزنین چون لینوکس هم باگ های خفنی داشته و بدافزارهای معادلی داشته.

بعله عینه Dirty COW و یا Heartbeats که جزو بزرگترین باگ های گنو بودن ولی در کمتر از 1 روز فیکس شدن
بازم می گم باگ داشتن طبیعیه چون سیستم رو خدا ننوشته بلکه کار انسان هاست چیزی که غیرطبیعیه سرعت فیکس باگه
در ضمن من اسم 10 تا ویروس رو نوشتم چرا شما فقط واناکرای رو دیدین ؟

[سلمان م.]

.
فقط یه مطلب این ورژن کرنل و ... مربوط به ورژن 1.0 این ابزاره و مربوط به خیلی ساله پیشه مطمئناً تو این سال ها CIA بیکار ننشسته و ورژن های جدیدترش رو توسعه داده

طبق چیزی که زیر سند توی ویکی‌لیکس نوشته شده، مربوط به دو سال پیش هست.

[علی رزم دیده]

.
فقط یه مطلب این ورژن کرنل و ... مربوط به ورژن 1.0 این ابزاره و مربوط به خیلی ساله پیشه مطمئناً تو این سال ها CIA بیکار ننشسته و ورژن های جدیدترش رو توسعه داده

طبق چیزی که زیر سند توی ویکی‌لیکس نوشته شده، مربوط به دو سال پیش هست.

آره خوندمش الان ; دقیقاً واس همون گفتم چون قاعدتاً الان هیچ سروری دیگه کرنلش 2 نیست و این ابزار براشون بلا استفاده اس

[سلمان م.]

.
فقط یه مطلب این ورژن کرنل و ... مربوط به ورژن 1.0 این ابزاره و مربوط به خیلی ساله پیشه مطمئناً تو این سال ها CIA بیکار ننشسته و ورژن های جدیدترش رو توسعه داده

طبق چیزی که زیر سند توی ویکی‌لیکس نوشته شده، مربوط به دو سال پیش هست.

آره خوندمش الان ; دقیقاً واس همون گفتم چون قاعدتاً الان هیچ سروری دیگه کرنلش 2 نیست و این ابزار براشون بلا استفاده اس

توی CentOS نسخه ۶ استفاده می‌شه الآن! توی دیستروواچ نسخه کرنل رو می‌زنه.

https://distrowatch.com/table.php?distribution=centos

توزیع ردهت خیلی جاها استفاده می‌شه.

[علی رزم دیده]

.
فقط یه مطلب این ورژن کرنل و ... مربوط به ورژن 1.0 این ابزاره و مربوط به خیلی ساله پیشه مطمئناً تو این سال ها CIA بیکار ننشسته و ورژن های جدیدترش رو توسعه داده

طبق چیزی که زیر سند توی ویکی‌لیکس نوشته شده، مربوط به دو سال پیش هست.

آره خوندمش الان ; دقیقاً واس همون گفتم چون قاعدتاً الان هیچ سروری دیگه کرنلش 2 نیست و این ابزار براشون بلا استفاده اس

توی CentOS نسخه ۶ استفاده می‌شه الآن! توی دیستروواچ نسخه کرنل رو می‌زنه.

https://distrowatch.com/table.php?distribution=centos

توزیع ردهت خیلی جاها استفاده می‌شه.

پس واس همین بود که تارگت اصلیش رو ردهت و سنت او اس مشخص کرده بود نه بقیه ی توزیع ها ...
ممنون 

[مهران تعریف]

چیزی که مشخصه فعلا که تهدیدی نیس ولی خبر بدی بود.
نمی دونم چرا بعضی ها به این انجمن سر میزنن و فقط در تاپیک هایی مشارکت می کنن که به نوعی می تونن به مقایسه ی فیل ومورچه (گنو و ویندزد) بپردازند. لااقل یه سر به ویکی لیکس و محدودیت هاش میزدی. آیا هدف منصرف کردن کاربران گنو هستش؟
من اگه بهتر از گنو و GPL v3 پیدا کنم به اون سیستم عامل مهاجرت می کنم. شما بهتر اش رو سراغ داری؟؟ این نفوذ ، کدوم هسته ها رو در بر میگیره؟ وسعتش چقدره؟ کی ها پشت این نفوذ اند؟
هیچ کدوم از این بحث ها نمیتونه مرهمی بر دردها و باگ های ویندزد باشه. اگر هدف اینکه شرایط امنیتی فیل رو با مورچه عین هم نشان بدیم که فکر نمی کنم چندان موفق باشید. در کل این بحث هم مثل بحث های دیگه اس.
امنیت سیستم تا حدودی به ادمین بستگی داره ولی شرط تعیین کننده نیس.

[علی رزم دیده]

الان من یه سرچ دقیق تر انجام دادم نتیجه اش شد این :
اول از همه این که هنوز که هنوزه دارن روش تحقیق وبررسی می کنن و به خصوص ردهت داره روی این اکسپلویت به صورت جدی کار می کنه تا پچ لازمه رو بده ولی تا الان موفق نشده (امروز 4 Jul 2017)

چیزهایی که فعلاً در مورد این اکسپلویت مشخص شده:
1.فقط رو کرنل هایی با ورژن 2 و معماری 64 بیت قابل اجراس (به عبارت بهتر روی CentOS/RHEL 6.x)
2.اول ماژول کرنلی به اسم nf_table_6_64.ko رو رو سیستم تارگت لود می کنه
3.بعد با تغییر iptable rules یک netfilter مخفی به اسم dpxvke8h18 ایجاد می کنه
4.بعد این ماژول کرنل اقدام به حذف خودش می کنه
5.برای انتقال اکسپلویت هکر باید دسترسی به شل تارگت داشته باشه
6.طبق داکیومنت ردهت برای لود کردن این ماژول کرنل باید دسترسی روت هم داشته باشیم

روش تشخیص :
اگه هر یک از دستورات زیر خروجی مثبت داشتند شما متاسفانه آلوده شدین :

کد: [انتخاب]

lsmod | grep nf_table
sudo iptables -t dpxvke8h18 -L
منبع :
https://access.redhat.com/solutions/3099221

پ.ن:با توجه به اینکه شرایط ذکر شده بسیار خاص (کرنل 2 معماری 64 دسترسی روت به شل و ...) بود مشخصه این اکسپلویت برای هدف خاصی نوشته شده بود و یک اکسپلویت عمومی نبود

[ALi.pAkrohk]

الان من یه سرچ دقیق تر انجام دادم نتیجه اش شد این :
اول از همه این که هنوز که هنوزه دارن روش تحقیق وبررسی می کنن و به خصوص ردهت داره روی این اکسپلویت به صورت جدی کار می کنه تا پچ لازمه رو بده ولی تا الان موفق نشده (امروز 4 Jul 2017)

چیزهایی که فعلاً در مورد این اکسپلویت مشخص شده:
1.فقط رو کرنل هایی با ورژن 2 و معماری 64 بیت قابل اجراس (به عبارت بهتر روی CentOS/RHEL 6.x)
2.اول ماژول کرنلی به اسم nf_table_6_64.ko رو رو سیستم تارگت لود می کنه
3.بعد با تغییر iptable rules یک netfilter مخفی به اسم dpxvke8h18 ایجاد می کنه
4.بعد این ماژول کرنل اقدام به حذف خودش می کنه
5.برای انتقال اکسپلویت هکر باید دسترسی به شل تارگت داشته باشه
6.طبق داکیومنت ردهت برای لود کردن این ماژول کرنل باید دسترسی روت هم داشته باشیم

روش تشخیص :
اگه هر یک از دستورات زیر خروجی مثبت داشتند شما متاسفانه آلوده شدین :

کد: [انتخاب]

lsmod | grep nf_table
sudo iptables -t dpxvke8h18 -L
منبع :
https://access.redhat.com/solutions/3099221

پ.ن:با توجه به اینکه شرایط ذکر شده بسیار خاص (کرنل 2 معماری 64 دسترسی روت به شل و ...) بود مشخصه این اکسپلویت برای هدف خاصی نوشته شده بود و یک اکسپلویت عمومی نبود

خوب چرا کرنل رو بروز نمی کنن؟