BothanSpy et Gerfaut sont les noms des dernières CIA outils de piratage déterrés par WikiLeaks et le déjà légendaire décharge Vault7. Les outils sont en implants faits conçus pour dérober des informations d'identification SSH à partir de deux systèmes d'exploitation - Windows et Linux.
Le but non lucratif a publié un nouveau lot de documents montrant en détail deux nouveaux implants CIA mis au point pour intercepter et exfiltrer des informations d'identification SSH de Windows et Linux via des méthodes d'attaque différentes. Les outils peuvent voler des informations d'identification de l'utilisateur pour toutes les sessions SSH actives puis les renvoyer à la CIA.
BothanSpy Spy Implant pour Windows - Détails
BothanSpy a été créé pour cible Windows, plus précisément le client Microsoft Windows xShell. Il est installé comme une extension 3.x Shellterm sur le système ciblé et pourrait être exploitée que lorsque xShell est en cours d'exécution avec des sessions actives.
Qu'est-ce que xShell? Un émulateur de terminal qui prend en charge SSH, SFTP, TELNET, RLOGIN, et des protocoles série pour la distribution de fonctions de premier plan comme un environnement à onglets, le transfert de port dynamique, coutume mappage de touches, etc.
La fuite manuel utilisateur précise que BothanSpy fonctionne uniquement avec xShell en cours d'exécution sur la machine ciblée avec les sessions actives. Dans tous les autres cas, l'implant ne sera pas stocker les informations d'identification dans l'emplacement recherché.
D'autres spécifications à utiliser l'outil sont:
Pour utiliser BothanSpy contre des cibles en cours d'exécution d'une version 64 bits de Windows, le chargeur étant utilisé doit supporter injection Wow64. XShell vient seulement en tant que binaire x86, et BothanSpy est donc seulement compilé sous la forme x86. terme Shell 3.0+ soutient injection Wow64, et Shellterm est fortement recommandé.
Gerfaut Spy Implant - Détails
Comme mentionné, Gerfaut a été créé pour cibler spécifiquement le client OpenSSH sur diverses distributions Linux, tels que CentOS, Debian, RHEL (Red Hat), openSUSE et Ubuntu.
L'implant Linux fonctionne aussi bien sur 32- et les systèmes 64 bits, et avec elle la CIA utilise un malware personnalisé connu sous le nom rootkit JQC / KITV. Il donne un accès permanent aux systèmes compromis.
Gerfaut est en mesure de recueillir le trafic de session OpenSSH complète ou partielle. Il conserve également les informations acquises dans un fichier crypté local qui est exfiltré à un stade ultérieur.
Comme il est indiqué dans le manuel utilisateur fuite:
Gerfaut est une session SSH outil « partage » qui fonctionne sur les sessions de OpenSSH sortant de l'hôte cible sur lequel il est exécuté. Il peut se connecter sessions SSH (y compris les informations de connexion), ainsi que d'exécuter des commandes au nom de l'utilisateur légitime sur l'hôte distant.
L'outil fonctionne automatiquement. Il est configuré à l'avance, exécuté sur l'hôte distant et le fonctionnement gauche, le manuel lit. L'opérateur retourne plus tard et les commandes Gyrfalcon pour vider la totalité de sa collection sur le disque. L'opérateur récupère le fichier, déchiffre, et analyse tout ce qui a été recueillie.
Il y a aussi une deuxième version de gerfaut qui a également été publié. L'outil se compose de deux binaires compilés qui doivent être téléchargés sur le système ciblé.
Intéressant, Gerfaut n'a pas été conçu pour fournir des services de communication entre l'ordinateur de l'opérateur local et la plate-forme cible. L'opérateur doit utiliser une application tierce pour télécharger ces trois fichiers à la plate-forme cible, comme dit le manuel.