BothanSpy und Gerfalke sind die Namen der neuesten CIA ausgegrabenen Hacker-Tool von WikiLeaks und die bereits legendäre Vault7 Dump. Die Werkzeuge sind in der Tat Implantate entwickelt, um SSH-Anmeldeinformationen von zwei Betriebssystemen zu stehlen - Windows und Linux.
Die Non-Profit hat in Detail zeigt zwei neue CIA-Implantate entwickelt abzufangen und exfiltrate SSH-Anmeldeinformationen von Windows und Linux über verschiedene Angriffsmethoden eine neue Charge von Dokumenten veröffentlicht. Die Tools können Benutzer-Credentials für alle aktiven SSH-Sitzungen stehlen und sie dann an die CIA zurückschicken.
BothanSpy Spy Implant for Windows - Details
BothanSpy wurde erstellt Windows-Ziel, genauer gesagt, die Microsoft Windows-Client Xshell. Es wird als Shellterm 3.x Erweiterung auf dem Zielsystem installiert und nur ausgenutzt werden könnte, wenn Xshell mit aktiven Sitzungen läuft.
Was ist Xshell? Ein Terminal-Emulator, der SSH unterstützt, SFTP, TELNET, RLOGIN, und serielle Protokolle für führende Funktionen wie eine Umgebung mit mehreren Registerkarten verteilen, dynamische Portweiterleitung, benutzerdefinierte Tastenbelegung, etc.
Die durchgesickert Bedienungsanleitung stellt klar, dass BothanSpy funktioniert nur mit Xshell mit aktiven Sitzungen auf dem Zielcomputer ausgeführt wird. In jedem anderen Fall, das Implantat Anmeldeinformationen werden die Speicherung nicht in der Lage gesucht.
Weitere Spezifikationen das Tool zu verwenden sind:
Um BothanSpy gegen Ziele läuft eine x64-Version von Windows zu verwenden, der Lader verwendet wird, muss Wow64 Injektion unterstützen. Xshell kommt nur als x86 binary, und somit BothanSpy wird nur als x86 kompiliert. Shell Begriff 3.0+ unterstützt Wow64 Injektions, und Shellterm ist sehr zu empfehlen.
Gerfalke Spy Implant - Details
wie erwähnt, Gerfalke wurde geschaffen, um speziell das OpenSSH-Client auf verschiedenen Linux-Distributionen Ziel, wie CentOS, Debian, RHEL (Red Hat), openSUSE und Ubuntu.
Das Linux-Implantat funktioniert sowohl 32- und 64-Bit-Systeme, und mit ihr die CIA verwendet eine benutzerdefinierte Malware bekannt als JQC / KITV rootkit. Es gibt persistent Zugang zu kompromittierte Systeme.
Gerfalke ist in der Lage vollständige oder teilweise OpenSSH Sitzungsverkehr zu sammeln. Es hält auch die gewonnenen Informationen in einer lokalen verschlüsselten Datei, die zu einem späteren Zeitpunkt exfiltrated wird.
Wie in der durchgesickerten Bedienungsanleitung angegeben:
Gerfalke ist ein SSH-Session „sharing“ Tool, das auf Outbound-OpenSSH-Sitzungen aus der Ziel-Host arbeitet, auf das es ausgeführt wird,. Es kann SSH Sitzungen anmelden (einschließlich Anmeldeinformationen), sowie auf der Remote-Host-Befehle im Namen des berechtigten Benutzers ausführen.
Das Werkzeug arbeitet automatisch. Es wird im Voraus konfiguriert,, auf dem Remote-Host und Linkslauf ausgeführt, das Handbuch liest. Der Operator gibt später und Befehle Gerfalke alle seine Sammlung auf die Festplatte zu leeren. Der Bediener ruft dann die Datei, entschlüsselt, und analysiert, was gesammelt wurde.
Es gibt auch eine zweite Version von Gerfalke, die auch veröffentlicht wurden. Das Werkzeug besteht aus zwei kompilierten Binärdateien, die an das Zielsystem übertragen werden sollen.
Interessant, Gyrfalcon ist nicht darauf ausgelegt, Kommunikationsdienste zwischen den lokalen Operator Computern bereitzustellen und der Zielplattform. Der Betreiber muss eine Anwendung von Drittanbietern verwenden, um diese drei Dateien auf die Zielplattform laden, wie gesagt die manuelle.