BothanSpy e Girfalco sono i nomi dei più recenti strumenti di hacking della CIA rinvenuti da Wikileaks e il già leggendario discarica Vault7. Gli strumenti sono nelle protesi infatti progettati per rubare le credenziali SSH da due sistemi operativi - Windows e Linux.
Il non-profit ha rilasciato un nuovo lotto di documenti che mostrano in dettaglio due nuovi impianti della CIA sviluppati per intercettare e esfiltrare credenziali di SSH da Windows e Linux tramite diversi metodi di attacco. Gli strumenti possono rubare le credenziali dell'utente per tutte le sessioni SSH attivi e poi rimandarli alla CIA.
BothanSpy Spy Implant for Windows - Dettagli
BothanSpy è stata creata per indirizzare di Windows, più specificamente il client di Microsoft Windows Xshell. Si installa come estensione Shellterm 3.x sul sistema mirato e può essere sfruttata solo quando Xshell è in esecuzione con sessioni attive.
Che cosa è Xshell? Un emulatore di terminale che supporta SSH, SFTP, TELNET, RLOGIN, e protocolli seriali per la distribuzione di funzioni importanti come ad esempio un ambiente a schede, port forwarding dinamico, mappatura dei tasti personalizzati, etc.
Il trapelato manuale utente chiarisce che BothanSpy funziona solo con Xshell in esecuzione sulla macchina mirata con sessioni attive. In ogni altro caso, l'impianto non verrà memorizza le credenziali nella posizione cercata.
Altre specifiche Per utilizzare lo strumento sono:
Per poter utilizzare BothanSpy contro obiettivi che esegue una versione x 64 di Windows, il caricatore utilizzato deve supportare iniezione Wow64. Xshell arriva solo come un binario 86, e quindi BothanSpy viene compilato solo come x86. termine Shell 3.0+ supporta iniezione Wow64, e Shellterm è altamente raccomandato.
Gyrfalcon Spy Implant - Dettagli
Come accennato, Gyrfalcon è stata creata per indirizzare specificamente il client OpenSSH su diverse distribuzioni Linux, come CentOS, Debian, RHEL (Red Hat), openSUSE e Ubuntu.
L'impianto di Linux funziona sia su 32- e sistemi a 64 bit, e con essa la CIA utilizza una di malware su misura nota come JQC / KITV rootkit. Dà accesso permanente a sistemi compromessi.
Gyrfalcon è in grado di raccogliere OpenSSH totale o parziale del traffico di sessione. Mantiene anche le informazioni acquisite in un file crittografato locale che è fatti riparare in una fase successiva.
Come indicato nel manuale utente trapelato:
Gyrfalcon è uno strumento sessione SSH “condivisione” che opera sulle sessioni in uscita dal OpenSSH l'host di destinazione su cui viene eseguito. Si può accedere sessioni SSH (tra cui credenziali di accesso), nonché eseguire comandi sul conto dell'utente legittimo sull'host remoto.
Lo strumento funziona automaticamente. Si è configurato in anticipo, eseguito sull'host remoto e funzionante sinistra, il manuale di legge. L'operatore restituisce dopo e comandi Gyrfalcon per irrigare tutta la sua collezione su disco. L'operatore quindi recupera il file, decifra, e analizza ciò che è stato raccolto.
C'è anche una seconda versione del Girfalco, che inoltre è stato pubblicato. Lo strumento è costituito da due binari compilati che dovrebbero essere caricati sul sistema mirato.
È interessante notare che, Gyrfalcon non è progettato per fornire servizi di comunicazione tra il computer operatore locale e la piattaforma di destinazione. L'operatore deve utilizzare un'applicazione di terze parti per caricare questi tre file per la piattaforma di destinazione, come detto manuale.