OutlawCountry: CIA greift Linux-Nutzer mit Malware an

Der US-Geheimdienst Central Intelligence Agency verfügt offenbar auch über eine Malware für Linux-Systeme. Das geht aus Geheimunterlagen hervor, die Wikileaks veröffentlicht hat. Die OutlawCountry genannte Schadsoftware ist demnach in der Lage, jeglichen Netzwerktraffic eines Linux-Rechners auf Server der CIA umzuleiten.

Den Unterlagen zufolge ist OutlawCountry ein Linux-Kernel-Modul, das Ausnahmeregeln für die Firewall festlegen kann. Um einer Erkennung zu entgehen, löscht sich die Malware, nach dem sie ihre Aufgabe erledigt hat. Die CIA kann trotzdem anschließend jeglichen Datenverkehr eines infizierten Systems überwachen.

Laut Wikileaks legt die Malware eine versteckte Netzfilter-Tabelle an, die vorhandene Filter oder Adress-Tabellen umgehen und weder von Nutzern noch von Systemadministratoren erkannt werden kann. Eine Bedienungsanleitung für OutlawCountry legt zudem die Vermutung nahe, dass das Spionage-Tool mindestens seit Juni 2015 im Einsatz ist.

Kernel-Module scheinen allerdings nur für bestimmte Linux-Versionen vorzuliegen. Namentlich werden in den Unterlagen CentOS/RHEL 5.x und 6.x genannt. An anderer Stelle heißt es: „Das OutlawCountry-Tool besteht aus einem Kernel-Modul für Linux 2.6.“ Diese Kernel-Version kam auch schon bei CentOS/RHEL 4.x zum Einsatz. CentOS/RHEL 7.x basiert indes auf dem Linux-Kernel 3.10.x. Zudem scheint es Module für die 32- und 64-Bit-Versionen von CentOS und Red Hat Enterprise Linux zu geben.

Wie das schädliche Kernel-Modul auf ein Linux-Gerät gelangt, lassen die Unterlagen jedoch offen. „Ein Mitarbeiter wird auf verfügbare CIA-Exploits und –Hintertüren angewiesen ein, um das Kernel-Modul in das Betriebssystem des Ziels einzuschleusen“, schreibt Wikileaks.

In der Bedienungsanleitung macht die CIA ihre Mitarbeiter auch auf Einschränkungen der Linux-Malware aufmerksam. Beispielsweise soll OutlawCountry nur funktionieren, wenn der Linux-Kernel nicht verändert wurde. Zudem wird nur das Internet Protocol Version 4 (IPv4) und nicht die neue Version IPv6 unterstützt.

Schon seit März macht Wikileaks meist im Wochenrhythmus neue Geheimdokumente der CIA öffentlich. Dadurch wurde bekannt, dass die CIA unter anderem Zero-Day-Lücken in Windows und Cisco-Switches für ihre Zwecke missbraucht haben soll. Die CIA soll aber auch seit Jahren WLAN-Router ausspähen und über Tools zur Manipulation von Apple-Mac-Firmware verfügen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

31 Minuten ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

58 Minuten ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Stunde ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

3 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

4 Stunden ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

4 Stunden ago