BothanSpy en Gyrfalcon zijn de namen van de nieuwste CIA hacking-tools opgegraven door WikiLeaks en de nu al legendarische Vault7 dump. De tools zijn in feite implantaten ontworpen om SSH te stelen van twee besturingssystemen - Windows en Linux.
De non-profit heeft een nieuwe batch documenten die in detail twee nieuwe CIA-implantaten ontwikkeld om onderscheppen en exfiltrate SSH referenties van Windows en Linux via verschillende aanvalsmethoden vrijgegeven. Het gereedschap kan de gebruiker te stelen voor alle actieve SSH sessies en stuur ze terug naar de CIA.
BothanSpy Spy Implant for Windows - Details
BothanSpy is gemaakt te richten Windows, meer specifiek de Microsoft Windows Xshell client. Het is geïnstalleerd als een Shellterm 3.x uitbreiding op de beoogde systeem en kon alleen worden misbruikt wanneer Xshell wordt uitgevoerd met actieve sessies.
Wat is Xshell? Een terminal emulator die SSH ondersteunt, SFTP, TELNET, rlogin, en SERIAL protocollen voor het verspreiden toonaangevende functies, zoals een omgeving met tabbladen, dynamische port forwarding, douane zeer belangrijke mapping, etc.
Het gelekt handleiding verduidelijkt dat BothanSpy werkt alleen met Xshell draait op de beoogde machine met actieve sessies. In alle andere gevallen, het implantaat wordt niet opslaan van referenties in de locatie gezocht.
Andere specificaties om de tool te gebruiken:
Om BothanSpy gebruiken tegen doelen runnen van een x64-versie van Windows, de lader gebruikt moeten WOW64 inspuitsteun. Xshell komt alleen als een x86 binaire, en dus BothanSpy alleen gecompileerd x86. Shell term 3.0+ ondersteunt WOW64 injectie, en Shellterm wordt ten zeerste aanbevolen.
Giervalk Spy Implant - Details
Zoals genoemd, Giervalk werd opgericht om zich specifiek richten op de OpenSSH-client op verschillende Linux-distributies, zoals CentOS, Debian, RHEL (Red Hat), openSUSE en Ubuntu.
De Linux implantaat werkt op zowel 32- en 64-bit systemen, en samen met het de CIA gebruik maakt van een aangepaste malware bekend als JQC / KITV rootkit. Het geeft blijvende toegang tot gecompromitteerde systemen.
Giervalk in staat is om geheel of gedeeltelijk OpenSSH sessie verkeer verzamelen. Het houdt ook de verkregen informatie in een lokaal gecodeerd bestand dat wordt exfiltrated in een later stadium.
Zoals vermeld in de gelekte gebruikershandleiding:
Giervalk is een SSH-sessie “sharing” tool die werkt op uitgaande OpenSSH sessies van het doel host waarop het wordt uitgevoerd. Het kan SSH sessies inloggen (waaronder inloggegevens), alsmede opdrachten uitvoeren ten behoeve van de legitieme gebruiker op de externe host.
De tool werkt automatisch. Hij is ingesteld op voorhand, uitgevoerd op de externe host en links draaiende, de handleiding leest. De operator keert later en opdrachten Gyrfalcon al zijn collectie op de harde schijf te spoelen. De operator haalt dan het bestand, decodeert, en analyseert wat is verzameld.
Er is ook een tweede versie van Giervalk die ook is gepubliceerd. De tool bestaat uit twee binaire bestanden die moeten worden geüpload naar de beoogde systeem.
belangwekkend, Giervalk is niet ontworpen om de communicatie diensten te verlenen tussen de lokale operator computer en het doelplatform. De exploitant moet een toepassing van derden te gebruiken om deze drie bestanden te uploaden naar het doelplatform, zoals gezegd de handleiding.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: