WikiLeaks tiết lộ malware của CIA hack và gián điệp trên máy tính Linux

Với tên gọi OutlawCountry, dự án này cho phép hacker CIA chuyển hướng traffic mạng outbound trên máy mục tiêu tới hệ thống máy tính mà CIA kiểm soát để lấy dữ liệu vào/ra.

Công cụ OutlawCountry này gồm một module nhân kernel mà hacker CIA tải qua shell tới hệ thống mục tiêu và tạo bảng Netfilter ẩn với một cái tên mơ hồ trên máy Linux của người dùng.

“Bảng mới này cho phép tạo một số quy tắc nhất định, dùng lệnh iptables. Những quy tắc này sẽ chiếm quyền các quy tắc hiện đang dùng và người quản trị chỉ nhìn thấy khi biết tên bảng. Khi loại bỏ module nhân kernel thì bảng cũng sẽ bị xóa”.

Nhiều công cụ của CIA giúp hack máy tính Linux

Dù việc cài đặt và cách thức tồn tại của OutlawCountry không được mô tả chi tiết nhưng dường như hacker của CIA chỉ dựa vào các lỗ khai thác và cửa sau để đưa module nhân kernel vào máy Linux.

Tuy vậy, có vài hạn chế khi dùng công cụ này vì module kernel chỉ làm việc với các nhân kernel tương ứng.

“OutlawCountry 1.0 gồm một module kernel cho CentOS/RHEL 6.x 64-bit, module này chỉ làm việc với các kernel định sẵn. Ngoài ra, OutlawCountry 1.0 chỉ hỗ trợ thêm các quy luật DNAT ẩn vào PREROUTING”, WikiLeaks cho biết.

Rò rỉ CIA Vault 7 trước đó

Tuần trước, WikiLeaks cũng tung ra malware CIA tuyệt mật theo dõi địa điểm của PC và laptop chạy hệ điều hành Windows. Với tên gọi ELSA, malware này lấy ID của điểm phát wifi công cộng ở gần đó và ghép nó với dữ liệu toàn cầu của địa điểm phát wifi công cộng.

Từ tháng Ba, đã có 14 vụ được Vault 7 tiết lộ, bao gồm:

• Brutal Kangaroo - bộ suite của CIA cho máy Windows hướng tới hệ thống mạng đóng hay những máy tính air-gap trong các tổ chức, doanh nghiệp mà không cần truy cập trực tiếp.
• Cherry Blossom - framework của CIA, thường là cấy dựa trên firmware để kiểm soát từ xa, sử dụng để giám sát hoạt động Internet của máy mục tiêu qua khai thác lỗi trên các thiết bị Wifi.
• Pandemic - dự án của CIA cho phép tổ chức gián điệp biến máy chủ tập tin Windows thành máy tấn công ẩn, có thể âm thầm lây nhiễm máy khác trong mạng mục tiêu.
• Athena - phần mềm gián điệp được thiết kế để kiểm soát hoàn toàn máy Windows từ xa, làm việc với mọi phiên bản Windows, từ Windows XP tới Windows 10.
• Archimedes - công cụ tấn công trung gian được cho là do tổ chức gián điệp tạo nên, hướng tới các máy tính bên trong mạng LAN.
• Scribbles - phần mềm được thiết kế để nhúng tập tin chỉ báo (web beacon) vào tài liệu mật, cho phép hacker CIA theo dõi nội bộ.
• Grasshopper - framework cho phép CIA tạo malware tùy ý để đột nhập hệ thống Windows và vượt mặt công cụ chống virus.
• Marble - mã nguồn của công cụ gây khó khăn cho việc điều tra máy tính (anti-forensic), chủ yếu là mã háo hay đóng gói để giấu nguồn thật của malware.
• Dark Matter - khai thác lỗ hổng được thiết kế và dùng để nhắm tới iPhone và Mac.
• Weeping Angel - công cụ gián điệp được CIA dùng để xâm nhập TV thông minh, chuyển chúng thành microphone ẩn.
• Year Zero - công cụ hack các phần mềm, phần cứng phổ biến.