OutlawCountry: CIA greift Linux-Nutzer mit Malware an

Der US-Geheimdienst Central Intelligence Agency verfügt offenbar auch über eine Malware für Linux-Systeme. Das geht aus Geheimunterlagen hervor, die Wikileaks veröffentlicht hat. Die OutlawCountry genannte Schadsoftware ist demnach in der Lage, jeglichen Netzwerktraffic eines Linux-Rechners auf Server der CIA umzuleiten.

Den Unterlagen zufolge ist OutlawCountry ein Linux-Kernel-Modul, das Ausnahmeregeln für die Firewall festlegen kann. Um einer Erkennung zu entgehen, löscht sich die Malware, nach dem sie ihre Aufgabe erledigt hat. Die CIA kann trotzdem anschließend jeglichen Datenverkehr eines infizierten Systems überwachen.

Laut Wikileaks legt die Malware eine versteckte Netzfilter-Tabelle an, die vorhandene Filter oder Adress-Tabellen umgehen und weder von Nutzern noch von Systemadministratoren erkannt werden kann. Eine Bedienungsanleitung für OutlawCountry legt zudem die Vermutung nahe, dass das Spionage-Tool mindestens seit Juni 2015 im Einsatz ist.

Kernel-Module scheinen allerdings nur für bestimmte Linux-Versionen vorzuliegen. Namentlich werden in den Unterlagen CentOS/RHEL 5.x und 6.x genannt. An anderer Stelle heißt es: „Das OutlawCountry-Tool besteht aus einem Kernel-Modul für Linux 2.6.“ Diese Kernel-Version kam auch schon bei CentOS/RHEL 4.x zum Einsatz. CentOS/RHEL 7.x basiert indes auf dem Linux-Kernel 3.10.x. Zudem scheint es Module für die 32- und 64-Bit-Versionen von CentOS und Red Hat Enterprise Linux zu geben.

Wie das schädliche Kernel-Modul auf ein Linux-Gerät gelangt, lassen die Unterlagen jedoch offen. „Ein Mitarbeiter wird auf verfügbare CIA-Exploits und –Hintertüren angewiesen ein, um das Kernel-Modul in das Betriebssystem des Ziels einzuschleusen“, schreibt Wikileaks.

In der Bedienungsanleitung macht die CIA ihre Mitarbeiter auch auf Einschränkungen der Linux-Malware aufmerksam. Beispielsweise soll OutlawCountry nur funktionieren, wenn der Linux-Kernel nicht verändert wurde. Zudem wird nur das Internet Protocol Version 4 (IPv4) und nicht die neue Version IPv6 unterstützt.

Schon seit März macht Wikileaks meist im Wochenrhythmus neue Geheimdokumente der CIA öffentlich. Dadurch wurde bekannt, dass die CIA unter anderem Zero-Day-Lücken in Windows und Cisco-Switches für ihre Zwecke missbraucht haben soll. Die CIA soll aber auch seit Jahren WLAN-Router ausspähen und über Tools zur Manipulation von Apple-Mac-Firmware verfügen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.