BothanSpy y gerifalte son los nombres de las últimas herramientas de hacking CIA descubiertos por WikiLeaks y el ya legendario volcado Vault7. Las herramientas están en implantes de datos diseñados para robar credenciales SSH a partir de dos sistemas operativos - Windows y Linux.
La organización no lucrativa ha lanzado un nuevo lote de documentos que muestran en detalle dos nuevos implantes CIA desarrollados para interceptar y exfiltrate credenciales SSH desde Windows y Linux a través de diferentes métodos de ataque. Las herramientas pueden robar las credenciales de usuario para todas las sesiones activas SSH y luego enviarlos de vuelta a la CIA.
BothanSpy espía Implante para Windows - detalles
BothanSpy ha sido creado para apuntar de Windows, más concretamente, el cliente de Microsoft Windows Xshell. Se instala como una extensión Shellterm 3.x en el sistema objetivo y podría ser explotado sólo cuando Xshell se está ejecutando con sesiones activas.
Lo que es Xshell? Un emulador de terminal que soporte SSH, SFTP, TELNET, RLOGIN, y protocolos de serie para la distribución de las características principales tales como un entorno de pestañas, reenvío de puerto dinámico, asignación de teclas personalizada, etc.
El filtrada manual de usuario aclara que sólo funciona con BothanSpy Xshell que se ejecuta en la máquina objetivo con sesiones activas. En cualquier otro caso, el implante no se almacena credenciales en el lugar buscado.
Otras especificaciones Para utilizar la herramienta son:
Para utilizar BothanSpy contra objetivos ejecutando una versión de 64 bits de Windows, el cargador siendo utilizado debe ser compatible con la inyección WoW64. Xshell sólo viene como un binario x86, y por lo tanto BothanSpy solamente se compila como x86. plazo de Shell 3.0+ apoya inyección WoW64, y Shellterm es muy recomendable.
Gerifalte espía Implante - detalles
como se ha mencionado, Gerifalte fue creado para apuntar específicamente el cliente OpenSSH en varias distribuciones de Linux, tales como CentOS, Debian, RHEL (Red Hat), openSUSE y Ubuntu.
El implante funciona tanto en Linux 32- y los sistemas de 64 bits, y junto con él la CIA utiliza un malware a medida conocida como JQC / KITV rootkit. Da acceso permanente a los sistemas comprometidos.
Gerifalte es capaz de recoger el tráfico de sesión OpenSSH total o parcial. También mantiene la información adquirida en un archivo cifrado local que se exfiltraron en una etapa posterior.
Como se indica en el manual del usuario se filtró:
Gerifalte es una herramienta de sesión SSH “compartir” que funciona en las sesiones salientes OpenSSH desde el host de destino en el que se ejecuta. Puede registrar sesiones SSH (incluyendo credenciales de acceso), así como ejecutar comandos en nombre del usuario legítimo en el host remoto.
La herramienta funciona de forma automática. Se configura de antemano, ejecutado en el host remoto y el funcionamiento izquierda, lee el manual. El operador devuelve después y ordena gerifalte para eliminar la totalidad de su colección de discos. Entonces, el operador recupera el archivo, descifra, y analiza lo que se ha recogido.
También hay una segunda versión de gerifalte que también ha sido publicado. La herramienta consta de dos binarios compilados que deben ser cargados en el sistema de destino.
Curiosamente, Gerifalte no está diseñado para proporcionar servicios de comunicación entre el ordenador local y operador de la plataforma de destino. El operador debe utilizar una aplicación de terceros para cargar estos tres archivos a la plataforma de destino, como dijo el manual.