EDICIóN GENERAL
362 meneos
2183 clics
Outlaw Country: Wikileaks desvela malware de la CIA para Linux

Outlaw Country: Wikileaks desvela malware de la CIA para Linux

Outlaw Country permite redirigir todo el tráfico saliente de un ordenador objetivo a ordenadores controlados por la CIA con el objetivo de poder robar archivos del ordenador infectado, o también para enviar archivos a ese ordenador. El malware consiste en un módulo de kernel que crea tablas netfilter invisibles en el ordenador objetivo con Linux, con lo cual se pueden manipular paquetes de red. Un operador puede crear reglas que tengan preferencia sobre las que existen en las iptables,

| etiquetas: cia , outlaw country , malware , linux , wikileaks
Comentarios destacados:                    
#2 A mi no me afecta, yo uso windows :troll:
CIA esos seres de luz.
#1 Eso venía a decir. Qué cándida la gente. No sé qué se piensan qué hace un servicio secreto: saltarse la ley.
A mi no me afecta, yo uso windows :troll:
#2 !Y yo Android! :hug:
#10 Android es kernel de linux ejecutando java.
#19 y el comentario de #10 es ironia.
#19 El comentario de #10 es porque dependiendo del día Android es Linux o no lo es.
#23 Todos los Android funcionan sobre el kernel Linux, pero no todo lo que usa el kernel Linux es Android.

Tampoco es tan difícil.
#59 eso está claro. Díselo a los bipolares que hoy dicen que Android es Linux y mañana no.
#19 Un dispositivo móvil es un PC, pero lo normal es tener que explicárselo, por ejemplo a quienes siguen creyendo que Windows es el SO mas usado :roll:

En todo caso, las diferencias de hardware de un sobremesa a un dispositivo móvil debería complicar la "compatibilidad" del malware, es decir, que necesite mucho trabajo para que haga lo mismo en un android que en un servidor con linux.
#2, es que para puertas abiertas no es necesario usar ganzúas :troll:
#2 A ti no te afecta, porque tanta mierda de Microsoft te ha hecho inmune. xD
Como es posible, yo había leído en Menéame que Linux no tiene malware y que eso sólo pasaba con Windows :troll:
#3 Mentira. Y creo que muy poca gente ha defendido exactamente eso y sera gente que no tiene mucha idea. La mayoría hemos explicado POR QUE es mas complejo pillar malware en Linux.
#6 Muy poca gente, pero que hace mucho ruido en redes sociales. Si los linuxeros se caracterizan por algo, es por lo cansinos que son.
#21 Son como los veganos, que no pueden aguantarse sin decirlo.
#53 Yo uso Linux y Telegram y estoy en contra de Windows y Whatsapp! Ale, ya lo he dicho xD
#53 yo más bien veo a los windowseros como aquellos que todavía siguen pensando que fumar a ellos no les afecta, que su abuelo fumaba 3 paquetes diarios y con 124 años sigue saltando entre las peñas.
Y que se alegran cuando un linuxero pilla un catarro.
#21 como los mac-eros.
#6 Y dale, depende: si el malware entra por uno o varios exploits, técnicamente hablando, es igual de fácil o difícil pillarlo en Linux o en Windows. Sí, están las mitigaciones como tecnologías de protección de memoria, ASLR, etc. Pero una vez ejecutada la shellcode de turno, es prácticamente igual donde este. Lo único que se me ocurre son cosas que hacen más farragoso moverse en la máquina ya comprometida, pero vamos... poca diferencia.
#58 Si es por exploits es así, pero en ese caso protocolos como el SMB... se llevan la palma, yo diria que los linux tienen por lo general servicios mas seguros y con mejores defaults, pero eso es otra discursion.
#3 Te remito a mi comentario anterior que me canso de escribirlo de nuevo:

www.meneame.net/c/22071065

No se para que me molesto, al proximo exploit, vulnerabilidad o troyano que saquen para linux, volveran los cuñados blandiendo su palillo en la boca.
#9 A ver, te paso una lista rápida de cuñaditos de palillo en boca, habla con ellos ;)
www.meneame.net/c/21750877
www.meneame.net/c/21743785
www.meneame.net/c/21736889
#12 no parece, que los cuñados usan windows es algo de sobra conocido.
#29 Al contrario, los cuñados usan linux y te dan la tabarra con lo super seguro que es en la cena de navidad, y en Menéame también. ;)
#30 tanto hasefroch te ha dejado frito el cerebelo
#33 positivo por lo de hasefroch.
#12 Gracias por la selección de comentarios que no te dan la razón.
Ninguno de esos cuñados pro-linux está diciendo que en Linux no haya ningún problema.
:roll: :shit: ;) :troll: :foreveralone: :hug:
#9 Lección 0: No usar windows -> me parece un buen consejo de seguridad, sinceramente, otra cosa es que la seguridad plena no te la garantiza ningun SO, te la garantiza mas bien seguir unas normas basicas, como todo.

Gaveta 13/05 23:34
No usar windows. -> Lo mismo. Pero entiendo que mucha gente necesita Windows para desarrollar su trabajo.

Da igual, esto pasa por usar windows. Cuando usas un sistema cerrado, no tienes ni la posibilidad de comprobar qué es lo que estás ejecutando.…   » ver todo el comentario
#15 "Cuando usas un sistema cerrado, no tienes ni la posibilidad de comprobar qué es lo que estás ejecutando" Ya me da arcadas el pensar en revisar el código que escribo yo como para revisar en mi tiempo libre el código que escriben los demás xD
#15 Es un muy buen consejo de seguridad.

Toda mi escasa experiencia apunta a eso.
Mi hermano y mis padres son analfabestias de los ordenadores. Tras más de una década usando ordenadores para jugar, navegar (noticias y anuncios sobretodo), hacer facturas y ver cosas online, siguen llamándome para cualquier tipo de problema. Ejemplos:
- "No me va Internet": el cable ethernet se ha aflojado al barrer, hay que reiniciar el router.
- "No me arranca el PC": el cable de la luz se…   » ver todo el comentario
#40 Para navegar puede valer, pero ponte a hacer hojas de cálculo, instalar programas, configurar una red, etc.
#44 Tu comentario no tiene desperdicio, pero lo mejor es lo de instalar programas. :troll: xD
#40 "Ha salido una venta con cosas raras y no sé qué hacer": la ventana dice "ha salido una nueva actualización de adobe flash player".

Cómo me conozco esta. "Me ha salido una ventana rara y no sé qué hacer" "¿Qué pone?" "No sé, no lo he leído". :palm:
#61 - ¿Me puedes leer lo que pone?
- Es que ya he pulsado en un botón y se ha ido
- :ffu:
#40 No se que tiene que ver el comentario con la noticia. Entiendo a la vez que tus familiares usarían un Windows vista , XP o 7. Por que con Windows 10 esos problemas que mencionas se suelen arreglar solitos si vuelves a conectar los cables. Esos problemas saldrían también con Linux. No creo que con Linux funcione internet si se desconecta el cable al barrer. Sobre virus y troyanos, Windows 10 ya viene con antivirus y que se actualiza todos los días. No se necesita comprar el de otra marca. Y sobre todo no tienen ningún problema de drivers. El único trabajo de mantenimiento de Windows 10 es darle a las pantallas que salgan aceptar o cancelar. :troll:
#74 No sé de qué hablas. En linux también se arreglan solitos, una vez que conectas el cable. Windows 10 también es objetivo de infecciones de todo tipo. En Linux no uso ningún antivirus, no hace falta. Lo dejo aquí.
#77 A partir de la noticia lo necesitarás si no al tiempo.
#78 Lo único que necesito es actualizar el kernel (como dice la noticia).
#40 A mi me pasó algo parecido.Mi madre no paraba de llamarme para "incidencias" del ordenador. Una pesadilla hasta que hace unos años le puse un Linux Mint. Le enseñé 4 cosas y no me volvió a dar la brasa.
#15 Respecto al segundo argumento añadiría que el poder ver el código de algo, te permite hacer a ti algo similar que se ajuste adecuadamente a tus necesidades y descarte la fucionalidad sobrante, ahorrando así muchas líneas, y por lo tanto posibles bugs dentro de una funcionalidad que no necesitas.
#9 En el punto B igual no tienes razón. Para el ransonware es más lucrativo atacar servidores de empresa. Pagan más y mejor por sus datos. Aunque si están bien administrados, tendrán el backup al día.
#66 Es otro tema, si, estaba pensando mas bien en atacar "usuarios de PC".
#3 y que era la única manera de estar seguro de espionaje y de sentirse más listo que los demás :troll:
#3 Es que Linux es un sistema perfecto e incorruptible. :tinfoil:
#3 Falta explicar como se instala el módulo. Hacer un módulo para el kernel que haga lo que te de la gana es trivial.
#3 Tomando en cuenta que este malware sólo afecta a sistemas del 2011 o anteriores... puede que no te hayan mentido mucho...
#51 ¿que nadie lo diga? Ya lo dijo todo el mundo. P ej, #50 dice que este malware "sólo afecta a sistemas del 2011 o anteriores"... windows 7 es de 2009, entonces lo de wannacry que afectó mayormente a windows 7 debe de ser irrelevante.

A parte de que la gente debe de creer que la CIA abandonó el desarrollo del malware y no lo actualizó para afectar a versiones recientes.
#55 Es que tener el sistema sin soporte de actualizaciones no es precisamente lo más inteligente si tienes datos importantes. Si sólo usas el PC para echar unas partidas al último juego que te salga en el caralibro, pues ten el SO que te dé la gana mientras tire el juego.
#71 Windows 7 tiene soporte hasta 2020 y la versión del kernel por lo que comentaron, tenía soporte hasta 2016. El malware ya existía en 2015, dentro del período de soporte del kernel.

Una cosa es actualizar a la última versión del SO/kernel y otra es actualizar la misma versión del SO/kernel aplicándole los parches de seguridad. Si una versión sigue teniendo soporte no tienes por qué actualizarte a la última versión. Eso sí, los parches de seguridad sí hay que aplicarlos.

#54 Suele ser lo más habitual pero no siempre es así, por eso estaría bien conocer cómo fue exactamente.
Según el artículo: El módulo sólo funciona con los kernel por defecto, la versión 1.0 del malware sólo soporta DNAT a través de la cadena PREROUTING. Tenía (en el 2015) como requisito utilizar la versión de CentOS 6.x o anterior, y como versión de kernel 2.6.32 (del año 2011) o inferior.
Teniendo en cuenta que su objetivo eran servidores; los vulnerables serían los que peor mantenimiento y actualización tuviesen.
#4 Cierto, pero esa es la primera versión del malware, a saber las que tendrán y lo que harán. Esto es una prueba de que hacen malware para linux.
#5 Por supuesto que hacen malware para linux, piensa en todos los servidores o los ~1500 millones de android.
#5 La única forma de que sea efectivo para todos los equipos es que compilen el módulo en el propio pc y que el código fuente del módulo sea compatible con todas las versiones del kernel de linux. No se puede cargar un módulo del kernel compilado con una versión de gcc o libc diferente a la del propio kernel, y entre versiones del kernel a veces se cambian estructuras que lo hacen incompatible con versiones anteriores. No es imposible, pero es difícil.

Además, para poder usarlo primero tienen que conseguir utilizar un exploit, y si tienes un exploit que puede cargar un modulo del kernel, significa que tienes acceso de root y por tanto que puedes hacer cualquier cosa en el servidor sin necesidad de cargar ese módulo.
#5 Los modulos del kernel tienen que estar compilados específicamente para el kernel concreto. Y en Linux hay cientos o miles de versiones y variantes del kernel..
#34 Si existe este malware es porque ese problema ya lo han resuelto, así como el problema de instalarlo que comenta #28 . El malware no se creó para nada, se creó para usarlo y esta es su primera versión.

Vamos que si la CIA quiere, les costará más o menos pero linux no les representa un impedimento.
#36 Si ya tienen el nivel de acceso suficiente, ese "malware" es el menor de los problemas...
#39 Y si ya tienen el acceso suficiente, es porque hay un fallo que les permite tener tal acceso.

Aquí como en wannacry falta saber cómo se logra el primer acceso. Se sabe que wannacry se propagó por un fallo en SMB1 pero ¿cómo fue la primera infección?
#41 Adjunto de correo electrónico o pendrive infectado. Nada nuevo
#45 Eso es una suposición y realmente no contesta a la pregunta. Por ejemplo ¿fue por un adjunto .exe que el usuario abrió y ejecutó otorgándole privilegios de administrador pese a todas las advertencias, o fue por un pdf adjunto que con solo la vista previa escaló privilegios e infectó el sistema aprovechándose de un 0 day?

Un vector de infección de Petya parece ser que fue a través de las actualizaciones comprometidas de un software de contabilidad que usaban las empresas. El programa se…   » ver todo el comentario
#54 Te hablo de mi experiencia personal. A nosotros nos entró el cryptolocker porque la secretaria abrió una factura en un word que no era factura ni word. Todo en un rar de un mail.
#41 En realidad el fallo más común suele ser el elemento humano. Se soborna a alguien para que introduzca el malware en el sistema y una vez comprometido es muy difícil saber donde puede estar.
#41 Conseguir la cuenta de uno de tus contactos y mimetizarla, para que te creas que es algo seguro lo que te manda por correo adjunto y ejecutarlo.
La CIA ens roba!!!
¿Malware? Pero si es la CIA... ellos solo quieren difundir el bien y la democracia.
Este será el año del Malware de Linux en el escritorio :troll:
Del artículo.
Para poder hacer uso de este malware, un operador de la CIA tiene que hacer primero uso de otros exploits o puertas traseras para inyectar el módulo del kernel en el sistema operativo objetivo.

El módulo sólo funciona con los kernel por defecto, y además, la versión 1.0 del malware sólo soporta DNAT (Destination NAT) a través de la cadena PREROUTING.

Si esto es todo lo que puede conseguir la CIA y la NSA, Linux sigue siendo más seguro que Windows.
Además hace la tira de años que wn Linux existen cosas como module source checksum que está diseñadas entre otras cosas para evitar la inyección de módulos extraños en el kernel.
El que quiera meterle un virus o malware a mi GNU/Linux se va a tener que pelear con el cristo que tengo montado con las dependencias de librerías y paquetes. Si consigue compilar el virus se merece un premio, jejeje.
kernel 2.6.32? del milenio pasado. :troll:
No puede ser! Si linux es inmune a todo virus! Que me lo ha dicho mi primo que sabe un huevo de informática.
El principal agujero de seguridad del sistema siempre está entre el teclado y la silla.
Normal que si el malware es un modulo del kernel pueda hacer lo que quiera, lo difícil es instalar un modulo del kernel en un sistema donde no tienes permisos de administrador. Según el articulo para eso tienen que hacer uso de otros fallos de seguridad (que en Linux se suelen corregir bastante rápido) o de puertas traseras (que al ser software libre llevado por comunidades son difíciles de colar), por lo que no parece un malware demasiado preocupante...
"El malware consiste en un módulo de kernel" <-- Jaja. Good luck.
Pero... Linux no era super seguro? :troll:
Para poder hacer uso de este malware, un operador de la CIA tiene que hacer primero uso de otros exploits o puertas traseras para inyectar el módulo del kernel en el sistema operativo objetivo.

Vamos, que con la que tienes que liar para entrar, basicamente entras como root... el nucleo tiene que ser vanilla y de una version concreta.

Mucho complicado y poco target.

Creo que un hacker profesional, currando a diario con buenas herramientas, en un anyo apenas encontrara unas docenas de maquinas susceptibles... pero no esta mal como herramienta para el arsenal por si suena la flauta.
CuñadoZone, sensacionalista al canto.
Por si alguien está preocupado por esto... el artículo dice que afecta sólo a kernels 2.6.32 o anteriores. Dado que ya hace mucho que estamos utilizando kernels 4.x diría que la gran mayoría de los linux no están en peligro.
#47
¿Para Linux 2.6.32? xD xD Eso tiene más años que matusalén.
#49 Si, se usó hasta 2011 creo.
#47 Solo eso. Las dos ultimas olas de ataques a Windows se tranquilizaba antes diciendo que no pasa nada solo hay que ter el sistema actualizado. Al parecer nadie actualiza si algo le funciona.
#76 No exactamente. El problema con windows es que muchas veces las actualizaciones provocan fallas en el propio sistema o en aplicaciones instaladas. Los administradores de sistemas windows tienen que lidiar constantemente con este tipo de problemas por eso antes de actualizar lo que se hace es experimentar en un sistema de pruebas. Pero como eso lleva tiempo y no siempre descubre todo lo que puede fallar, es bastante usual aplicar el viejo dicho informático "si funciona no lo…   » ver todo el comentario
Que nadie diga eso de que el 2.6.32 es del siglo pasado.... Sin ir más lejos, ahora mismo, en el servidor VPS que me da el proveedor de internet:
bash$ uname -r
2.6.32-042stab116.customline.xxxxx.xxx

El 2.6.32 es un kernel marcado como LTS y que se usa en multitud de ISP's. Teóricamente el end-of-life estaba marcado para el año pasado, pero....
linux.slashdot.org/story/16/01/31/0424221/linux-kernel-2632-lts-reache

Pues eso. Que cachondeos los justos :-(
Ciertamente las mismas cosas que dificultan a veces la gestion de sistemas Linux hacen que sean un objetivo mas duro para los ataques.

En linux lo normal es tirar de modulos que vienen en el nucleo por defecto. Estan compilados con un compilador y librerias determinadas que tienen que coincidir con las que se han usado para compilar el kernel o nucleo.

Si usas drivers de terceros, como por ejemplo los de nvidia, es necesario descargar y compilar el driver, ya que no suele distribuirse de…   » ver todo el comentario
comentarios cerrados

menéame