
L’outil, utilisé par l’agence depuis 2015, est un module du noyau qui crée une table netfilter cachée sur une cible Linux. Au chargement du module, la table cachée se voit assigner un nom obscur. Dans cette version de l’outil, le nom assigné à cette dernière est « dpxvke8h18 ».
La connaissance de ce nom permet à un agent de créer de nouvelles règles de gestion des paquets IP prioritaires par rapport aux anciennes et hors d’atteinte de détection par l’administrateur système puisque masquées.
Ainsi, des paquets IP en provenance du réseau Ouest – WEST_2 – et transitant par le serveur Linux compromis (TARG_1) à destination d’un hôte précis – par exemple EAST_3 – peuvent ainsi être redirigés vers des postes de surveillance tenus par des agents de la CIA EAST_4 ou EAST_5.
L’installation du module sur la cible se fait via un accès shell à la cible. Le procédé requiert cependant que l’opérateur dispose de droits root sur le système cible, toutes choses que les agents réalisent sûrement au moins du nombre important d’exploits dont l’agence dispose.
Le module malveillant est conçu pour tourner sur les versions 64 bits des distributions CentOS et Red Hat 6.x. munies d’un kernel 2.6 au moins et d’une table de routage NAT.
Comme d’habitude, la recommandation donnée aux intervenants sur les systèmes visés est de les maintenir à jour. Le manuel laisse cependant entrevoir un moyen additionnel de mitiger ce type d’attaque.
Le fait pour un administrateur système de redémarrer le service de gestion de la table de routage aurait pour effet de placer le module dans un état dormant, ce qui obligerait l’agent à relancer la procédure d’installation.
Source : Manuel
Et vous ?

Voir aussi :


