BothanSpy, Windows用のGyrfalconCIAインプラント, LinuxがSSHクレデンシャルを盗む

BothanSpyとGyrfalconは、ウィキリークスによって発掘された最新のCIAハッキングツールと、すでに伝説的なVault7ダンプの名前です。. これらのツールは、実際には、WindowsとLinuxの2つのオペレーティングシステムからSSHクレデンシャルを盗むように設計されたインプラントです。.

非営利団体は、さまざまな攻撃方法を介してWindowsとLinuxからSSHクレデンシャルを傍受して盗み出すために開発された2つの新しいCIAインプラントを詳細に示す新しいドキュメントのバッチをリリースしました. ツールは、アクティブなすべてのSSHセッションのユーザー資格情報を盗み出し、CIAに送り返すことができます。.

---

Windows用のBothanSpyスパイインプラント–詳細

BothanSpyはWindowsをターゲットにするために作成されました, より具体的には、MicrosoftWindowsXshellクライアント. ターゲットシステムにShellterm3.x拡張機能としてインストールされ、Xshellがアクティブなセッションで実行されている場合にのみ悪用される可能性があります.

Xshellとは? SSHをサポートするターミナルエミュレータ, SFTP, TELNET, RLOGIN, タブ付き環境などの主要な機能を配布するためのSERIALプロトコル, 動的ポートフォワーディング, カスタムキーマッピング, 等.
The 漏れた ユーザーマニュアルは、BothanSpyがアクティブなセッションを持つターゲットマシンで実行されているXshellでのみ機能することを明確にしています. それ以外の場合, インプラントは検索された場所にクレデンシャルを保存しません.

ツールを使用するための他の仕様は次のとおりです。:

x64バージョンのWindowsを実行しているターゲットに対してBothanSpyを使用するには, 使用するローダーはWow64インジェクションをサポートする必要があります. Xshellはx86バイナリとしてのみ提供されます, したがって、BothanSpyはx86としてのみコンパイルされます. Shellterm 3.0+ Wow64インジェクションをサポート, Shelltermを強くお勧めします.

---

シロハヤブサスパイインプラント–詳細

述べたように, Gyrfalconは、さまざまなLinuxディストリビューション上のOpenSSHクライアントを特にターゲットにするために作成されました, CentOSなど, Debian, RHEL (Red Hat), openSUSEとUbuntu.

Linuxインプラントは両方で機能します 32- および64ビットシステム, それに伴い、CIAはJQC/KitVルートキットと呼ばれるカスタムマルウェアを使用します. 侵害されたシステムへの永続的なアクセスを提供します.

Gyrfalconは、OpenSSHセッショントラフィックの全部または一部を収集できます. また、取得した情報をローカルの暗号化ファイルに保存し、後の段階で盗み出します。.

リークされたユーザーマニュアルに記載されているように:

Gyrfalconは、SSHセッションの「共有」ツールであり、実行されているターゲットホストからのアウトバウンドOpenSSHセッションで動作します。. SSHセッションをログに記録できます (ログイン資格情報を含む), また、リモートホスト上の正当なユーザーに代わってコマンドを実行します.

ツールは自動的に機能します. 事前に設定されています, リモートホストで実行され、実行されたままになります, マニュアルは読む. オペレーターは後で戻り、Gyrfalconにすべてのコレクションをディスクにフラッシュするように命令します. 次に、オペレーターはファイルを取得します, それを解読する, 収集されたものは何でも分析します.

シロハヤブサの2番目のバージョンも公開されています. このツールは、対象のシステムにアップロードする必要がある2つのコンパイル済みバイナリで構成されています.

興味深いことに, Gyrfalconは、ローカルオペレーターのコンピューターとターゲットプラットフォーム間の通信サービスを提供するようには設計されていません. オペレーターは、サードパーティのアプリケーションを使用して、これら3つのファイルをターゲットプラットフォームにアップロードする必要があります, マニュアルが言ったように.