Casa > Ciber Noticias > BothanSpy, Gerifalte CIA Implantes para Windows, Linux robar las credenciales SSH
CYBER NOTICIAS

BothanSpy, Gerifalte CIA Implantes para Windows, Linux robar las credenciales SSH

BothanSpy y gerifalte son los nombres de las últimas herramientas de hacking CIA descubiertos por WikiLeaks y el ya legendario volcado Vault7. Las herramientas están en implantes de datos diseñados para robar credenciales SSH a partir de dos sistemas operativos - Windows y Linux.

La organización no lucrativa ha lanzado un nuevo lote de documentos que muestran en detalle dos nuevos implantes CIA desarrollados para interceptar y exfiltrate credenciales SSH desde Windows y Linux a través de diferentes métodos de ataque. Las herramientas pueden robar las credenciales de usuario para todas las sesiones activas SSH y luego enviarlos de vuelta a la CIA.


BothanSpy espía Implante para Windows - detalles

BothanSpy ha sido creado para apuntar de Windows, más concretamente, el cliente de Microsoft Windows Xshell. Se instala como una extensión Shellterm 3.x en el sistema objetivo y podría ser explotado sólo cuando Xshell se está ejecutando con sesiones activas.

Artículo relacionado: Herramienta de Vigilancia de Athena Diseñado para espiar a Windows XP - Windows 10

Lo que es Xshell? Un emulador de terminal que soporte SSH, SFTP, TELNET, RLOGIN, y protocolos de serie para la distribución de las características principales tales como un entorno de pestañas, reenvío de puerto dinámico, asignación de teclas personalizada, etc.
El filtrada manual de usuario aclara que sólo funciona con BothanSpy Xshell que se ejecuta en la máquina objetivo con sesiones activas. En cualquier otro caso, el implante no se almacena credenciales en el lugar buscado.

Otras especificaciones Para utilizar la herramienta son:

Para utilizar BothanSpy contra objetivos ejecutando una versión de 64 bits de Windows, el cargador siendo utilizado debe ser compatible con la inyección WoW64. Xshell sólo viene como un binario x86, y por lo tanto BothanSpy solamente se compila como x86. plazo de Shell 3.0+ apoya inyección WoW64, y Shellterm es muy recomendable.


Gerifalte espía Implante - detalles

como se ha mencionado, Gerifalte fue creado para apuntar específicamente el cliente OpenSSH en varias distribuciones de Linux, tales como CentOS, Debian, RHEL (Red Hat), openSUSE y Ubuntu.

El implante funciona tanto en Linux 32- y los sistemas de 64 bits, y junto con él la CIA utiliza un malware a medida conocida como JQC / KITV rootkit. Da acceso permanente a los sistemas comprometidos.

Gerifalte es capaz de recoger el tráfico de sesión OpenSSH total o parcial. También mantiene la información adquirida en un archivo cifrado local que se exfiltraron en una etapa posterior.

Como se indica en el manual del usuario se filtró:

Gerifalte es una herramienta de sesión SSH “compartir” que funciona en las sesiones salientes OpenSSH desde el host de destino en el que se ejecuta. Puede registrar sesiones SSH (incluyendo credenciales de acceso), así como ejecutar comandos en nombre del usuario legítimo en el host remoto.

La herramienta funciona de forma automática. Se configura de antemano, ejecutado en el host remoto y el funcionamiento izquierda, lee el manual. El operador devuelve después y ordena gerifalte para eliminar la totalidad de su colección de discos. Entonces, el operador recupera el archivo, descifra, y analiza lo que se ha recogido.

Artículo relacionado: OutlawCountry Exploit, Herramienta de la CIA para comprometer los sistemas Linux

También hay una segunda versión de gerifalte que también ha sido publicado. La herramienta consta de dos binarios compilados que deben ser cargados en el sistema de destino.

Curiosamente, Gerifalte no está diseñado para proporcionar servicios de comunicación entre el ordenador local y operador de la plataforma de destino. El operador debe utilizar una aplicación de terceros para cargar estos tres archivos a la plataforma de destino, como dijo el manual.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo