BothanSpy og jagtfalk er navnene på de nyeste CIA hacking værktøjer udgravet af WikiLeaks og den allerede legendariske Vault7 dump. Værktøjerne er faktisk implantater designet til at stjæle SSH legitimationsoplysninger fra to operativsystemer - Windows og Linux.
Den almennyttige har udgivet et nyt parti af dokumenter, der viser i detaljer to nye CIA-implantater udviklet til at opfange og exfiltrate SSH legitimationsoplysninger fra Windows og Linux via forskellige angrebsmetoder. Værktøjerne kan stjæle brugeroplysninger for alle aktive SSH sessioner og derefter sende dem tilbage til CIA.
BothanSpy Spy Implantat til Windows - Detaljer
BothanSpy er skabt til at målrette Windows, mere specifikt Microsoft Windows Xshell klient. Det er installeret som en Shellterm 3.x udvidelse på den målrettede, og som kun kan udnyttes, når Xshell kører med aktive sessioner.
Hvad er Xshell? En terminal emulator, der understøtter SSH, SFTP, TELNET, rlogin, og serielle protokoller til fordeling førende funktioner som en tabbed miljø, dynamisk port forwarding, brugerdefinerede nøgle kortlægning, etc.
Den lækket brugsanvisning præciserer, at BothanSpy kun fungerer med Xshell kører på målrettede maskine med aktive sessioner. I alle andre tilfælde, implantatet ikke lagre legitimationsoplysninger på den placering søgte.
Andre specifikationer at bruge værktøjet er:
For at kunne bruge BothanSpy mod mål kører en x64 version af Windows, læsseren anvendes skal understøtte WOW64 injektion. Xshell kun kommer som en x86 binær, og således BothanSpy kun opgøres som x86. Shell sigt 3.0+ understøtter WOW64 injektion, og Shellterm anbefales.
Jagtfalk Spy Implant - Detaljer
Som sagt, Jagtfalk blev skabt til specifikt at målrette OpenSSH-klienten på forskellige Linux-distributioner, såsom CentOS, Debian, RHEL (Red Hat), openSUSE og Ubuntu.
Linux implantat virker på både 32- og 64-bit-systemer, og sammen med det CIA bruger et tilpasset malware kendt som JQC / KitV rootkit. Det giver vedvarende adgang til kompromitterede systemer.
Jagtfalk er i stand til at indsamle hel eller delvis OpenSSH-session trafik. Den holder også den erhvervede oplysninger i en lokal krypteret fil, som exfiltrated på et senere tidspunkt.
Som det fremgår af lækket brugermanual:
Jagtfalk er en SSH session ”deling” værktøj, der opererer på udgående OpenSSH sessioner fra målet vært, som den er kørt. Det kan logge SSH sessioner (herunder loginoplysninger), samt udføre kommandoer på vegne af den legitime bruger på den eksterne vært.
Værktøjet fungerer automatisk. Den er konfigureret på forhånd, udføres på den eksterne vært og venstre løb, manualen læser. Operatøren vender tilbage senere og kommandoer jagtfalk at skylle al sin samling til disk. Operatøren henter derefter filen, dekrypterer det, og analyser hvad der er blevet indsamlet.
Der er også en anden version af jagtfalk, som også er blevet offentliggjort. Værktøjet består af to kompileret binære filer, der skal uploades til den målrettede systemet.
Interessant, Jagtfalk er ikke designet til at levere kommunikationstjenester mellem den lokale operatør computer og målet platform. Operatøren skal bruge et tredjepartsprogram til at uploade disse tre filer til målet platform, som sagt manualen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: